Ubuntu系统中,网络连接日志主要分布在以下核心文件中:
通过grep、tail等命令过滤日志中的网络关键字,实现实时监控:
实时查看系统级网络日志:
sudo tail -f /var/log/syslog | grep -i "network\|error\|fail" 该命令会实时显示syslog中包含“network”(网络)、“error”(错误)、“fail”(失败)的条目,帮助快速定位网络异常。
监控内核级网络事件:
sudo tail -f /var/log/kern.log | grep -i "network\|error\|fail" 适用于查看网络驱动、协议栈的实时状态(如“kernel: eth0: link up”表示接口连接成功)。
查看认证相关的日志:
sudo tail -f /var/log/auth.log | grep -i "ssh\|authentication" 用于监控SSH登录尝试(成功/失败),识别潜在的暴力破解行为(如“Failed password”表示密码错误)。
对于使用systemd的系统(Ubuntu 16.04及以上),journalctl是更强大的日志管理工具:
查看NetworkManager服务的日志(适用于使用NetworkManager管理网络的情况):
sudo journalctl -u NetworkManager -f 实时显示NetworkManager的网络连接、断开、配置变更等日志。
查看系统所有网络相关日志:
sudo journalctl -k | grep -i "network" -k选项表示显示内核日志,结合grep可过滤出网络相关的系统日志。
通过grep结合具体关键字,快速定位常见问题:
查看连接超时:
sudo tail -n 100 /var/log/syslog | grep "timeout" 若出现“Connection timed out”(连接超时),可能表示目标服务器不可达或网络拥塞。
查看IP地址冲突:
sudo tail -n 100 /var/log/syslog | grep "duplicate IP" 若出现“Duplicate address detected”(检测到重复地址),说明同一网络中存在IP地址冲突。
查看防火墙阻止:
sudo tail -n 100 /var/log/syslog | grep "firewall denied" 若出现“firewall denied”(防火墙拒绝),说明防火墙规则阻止了该网络连接(如ufw或iptables的限制)。
使用grep组合命令:
例如,查看SSH登录成功的日志:
sudo grep "Accepted password" /var/log/auth.log 或查看所有网络相关的dmesg日志:
sudo dmesg | grep -i "network" 使用awk统计连接数:
例如,统计当前TCP连接的数量:
sudo netstat -ant | awk '{print $6}' | grep -c "ESTABLISHED" 该命令通过netstat获取所有TCP连接的状态,用awk提取状态字段,最后统计“ESTABLISHED”(已建立)连接的数量。
sudo权限,确保你有足够的访问权限;logrotate),旧日志会压缩存储(如syslog.1.gz),可使用zcat查看压缩日志(如zcat syslog.1.gz | grep "network");tail -f和journalctl -f用于实时监控,停止监控可按Ctrl+C。
