- 掛牌上市企業(yè)
- 60秒人工響應(yīng)
- 99.99%連通率
- 7*24h人工
- 故障100倍補(bǔ)償
linux系統(tǒng)日志解析 |
| 發(fā)布時(shí)間: 2012/9/8 18:05:25 |
|
Linux系統(tǒng)中的日志子系統(tǒng)對于系統(tǒng)安全來說非常重要,它記錄了系統(tǒng)每天發(fā)生的各種各樣的事情,包括那些用戶曾經(jīng)或者正在使用系統(tǒng),可以通過日志來檢查錯誤發(fā)生的原因,更重要的是在系統(tǒng)受到黑客攻擊后,日志可以記錄下攻擊者留下的痕跡,通過查看這些痕跡,系統(tǒng)管理員可以發(fā)現(xiàn)黑客攻擊的某些手段以及特點(diǎn),從而能夠進(jìn)行處理工作,為抵御下一次攻擊做好準(zhǔn)備。 ● 連接時(shí)間日志: 由多個(gè)程序執(zhí)行,把記錄寫入到/var/log/wtmp和/var/run/utmp,login等程序會更新wtmp和utmp文件,使系統(tǒng)管理員能夠跟蹤誰在何時(shí)登錄到系統(tǒng)。 ● 進(jìn)程統(tǒng)計(jì): 由系統(tǒng)內(nèi)核執(zhí)行,當(dāng)一個(gè)進(jìn)程終止時(shí),為每個(gè)進(jìn)程往進(jìn)程統(tǒng)計(jì)文件(pacct或acct)中寫一個(gè)記錄。進(jìn)程統(tǒng)計(jì)的目的是為系統(tǒng)中的基本服務(wù)提供命令使用統(tǒng)計(jì)。 ● 錯誤日志: 由syslogd(8)守護(hù)程序執(zhí)行,各種系統(tǒng)守護(hù)進(jìn)程、用戶程序和內(nèi)核通過syslogd(3)守護(hù)程序向文件/var/log/messages報(bào)告值得注意的事件。另外有許多Unix程序創(chuàng)建日志。像HTTP和FTP這樣提供網(wǎng)絡(luò)服務(wù)的服務(wù)器也保持詳細(xì)的日志。 常用的日志文件如下:
access-log 紀(jì)錄HTTP/web的傳輸 acct/pacct 紀(jì)錄用戶命令 aculog 紀(jì)錄MODEM的活動 btmp 紀(jì)錄失敗的紀(jì)錄 lastlog 紀(jì)錄最近幾次成功登錄的事件和最后一次不成功的登錄 messages 從syslog中記錄信息(有的鏈接到syslog文件) sudolog 紀(jì)錄使用sudo發(fā)出的命令 sulog 紀(jì)錄使用su命令的使用 syslog 從syslog中記錄信息(通常鏈接到messages文件) utmp 紀(jì)錄當(dāng)前登錄的每個(gè)用戶 wtmp 一個(gè)用戶每次登錄進(jìn)入和退出時(shí)間的永久紀(jì)錄 xferlog 紀(jì)錄FTP會話 下面是日志級別
utmp、wtmp和lastlog日志文件是多數(shù)重用UNIX日志子系統(tǒng)的關(guān)鍵--保持用戶 登錄進(jìn)入和退出的紀(jì)錄。有關(guān)當(dāng)前登錄用戶的信息記錄在文件utmp中;登錄進(jìn)入和退出紀(jì)錄在文件wtmp中;最后一次登錄文件可以用lastlog命令察 看。數(shù)據(jù)交換、關(guān)機(jī)和重起也記錄在wtmp文件中。所有的紀(jì)錄都包含時(shí)間戳。這些文件(lastlog通常不大)在具有大量用戶的系統(tǒng)中增長十分迅速。例 如wtmp文件可以無限增長,除非定期截取。許多系統(tǒng)以一天或者一周為單位把wtmp配置成循環(huán)使用。它通常由cron運(yùn)行的腳本來修改。這些腳本重新命 名并循環(huán)使用wtmp文件。通常,wtmp在第一天結(jié)束后命名為wtmp.1;第二天后wtmp.1變?yōu)閣tmp.2等等,直到wtmp.7。 每次有一個(gè)用戶登錄時(shí),login程序在文件lastlog中察看用戶的UID。如果找到了, 則把用戶上次登錄、退出時(shí)間和主機(jī)名寫到標(biāo)準(zhǔn)輸出中,然后login程序在lastlog中紀(jì)錄新的登錄時(shí)間。在新的lastlog紀(jì)錄寫入后,utmp 文件打開并插入用戶的utmp紀(jì)錄。該紀(jì)錄一直用到用戶登錄退出時(shí)刪除。utmp文件被各種命令文件使用,包括who、w、users和finger。 下一步,login程序打開文件wtmp附加用戶的utmp紀(jì)錄。當(dāng)用戶登錄退出時(shí),具有更新時(shí)間戳的同一utmp紀(jì)錄附加到文件中。wtmp文件被程序last和ac使用。 進(jìn)程統(tǒng)計(jì) linux可以跟蹤每個(gè)用戶運(yùn)行的每條命令,如果想知道昨晚弄亂了哪些重要的文件,進(jìn)程 統(tǒng)計(jì)子系統(tǒng)可以告訴你。它對還跟蹤一個(gè)侵入者有幫助。與連接時(shí)間日志不同,進(jìn)程統(tǒng)計(jì)子系統(tǒng)缺省不激活,它必須啟動。在Linux系統(tǒng)中啟動進(jìn)程統(tǒng)計(jì)使用 accton命令,必須用root身份來運(yùn)行。Accton命令的形式accton file,file必須先存在。先使用touch命令來創(chuàng)建pacct文件:touch /var/log/pacct,然后運(yùn)行accton: accton /var/log/pacct。一旦accton被激活,就可以使用lastcomm命令監(jiān)測系統(tǒng)中任何時(shí)候執(zhí)行的命令。若要關(guān)閉統(tǒng)計(jì),可以使用不帶任何 參數(shù)的accton命令。 lastcomm命令報(bào)告以前執(zhí)行的文件。不帶參數(shù)時(shí),lastcomm命令顯示當(dāng)前統(tǒng)計(jì)文件生命周期內(nèi)紀(jì)錄的所有命令的有關(guān)信息。包括命令名、用戶、tty、命令花費(fèi)的CPU時(shí)間和一個(gè)時(shí)間戳。如果系統(tǒng)有許多用戶,輸入則可能很長。下面的例子就體現(xiàn)了這點(diǎn):
crond F root ?? 0.00 secs Sun Aug 20 00:16 promisc_check.s S root ?? 0.04 secs Sun Aug 20 00:16 promisc_check root ?? 0.01 secs Sun Aug 20 00:16 grep root ?? 0.02 secs Sun Aug 20 00:16 tail root ?? 0.01 secs Sun Aug 20 00:16 sh root ?? 0.01 secs Sun Aug 20 00:15 ping S root ?? 0.01 secs Sun Aug 20 00:15 ping6.pl F root ?? 0.01 secs Sun Aug 20 00:15 sh root ?? 0.01 secs Sun Aug 20 00:15 ping S root ?? 0.02 secs Sun Aug 20 00:15 ping6.pl F root ?? 0.02 secs Sun Aug 20 00:15 sh root ?? 0.02 secs Sun Aug 20 00:15 ping S root ?? 0.00 secs Sun Aug 20 00:15 ping6.pl F root ?? 0.01 secs Sun Aug 20 00:15 sh root ?? 0.01 secs Sun Aug 20 00:15 ping S root ?? 0.01 secs Sun Aug 20 00:15 sh root ?? 0.02 secs Sun Aug 20 00:15 ping S root ?? 1.34 secs Sun Aug 20 00:15 locat
億恩科技地址(ADD):鄭州市黃河路129號天一大廈608室 郵編(ZIP):450008 傳真(FAX):0371-60123888 本文出自:億恩科技【www.ibaoshan.net】 服務(wù)器租用/服務(wù)器托管中國五強(qiáng)!虛擬主機(jī)域名注冊頂級提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM] |
0371-60135900
京公網(wǎng)安備41019702002023號
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
