linux系统各种⽇志存储路径和详细介绍
Linux常见的⽇志⽂件详述如下
1、/var/log/boot.log(⾃检过程)
2、/var/log/cron (crontab守护进程crond所派⽣的⼦进程的动作)
3、/var/log/maillog (发送到系统或从系统发出的电⼦邮件的活动)
4、/var/log/syslog (它只记录警告信息,常常是系统出问题的信息,所以更应该关注该⽂件)
要让系统⽣成syslog⽇志⽂件,
在/f⽂件中加上:*.warning /var/log/syslog
该⽇志⽂件能记录当⽤户登录时login记录下的错误⼝令、Sendmail的问题、su命令执⾏失败等信息
5、/var/run/utmp
该⽇志⽂件需要使⽤lastlog命令查看
6、/var/log/wtmp
(该⽇志⽂件永久记录每个⽤户登录、注销及系统的启动、停机的事件)
last命令就通过访问这个⽂件获得这些信息
7、/var/run/utmp
(该⽇志⽂件记录有关当前登录的每个⽤户的信息)
8、/var/log/xferlog
(该⽇志⽂件记录FTP会话,可以显⽰出⽤户向FTP服务器或从服务器拷贝了什么⽂件)
Linux⽇志分析详细部分
⽇志也是⽤户应该注意的地⽅之⼀。不要低估⽇志⽂件对⽹络安全的重要作⽤,因为⽇志⽂件能够详细记录系统每天发⽣的各种各样的事件。⽤户可以通过⽇志⽂件检查错误产⽣的原因,或者在受到攻击和⿊客⼊侵时追踪攻击者的踪迹。⽇志的两个⽐较重要的作⽤是:审核和监测。配置好的Linux的⽇志⾮常强⼤。对于Linux系统⽽⾔,所有的⽇志⽂件都在/var/log下。默认情况下,Linux的⽇志⽂件已经⾜够强⼤,但没有记录FTP的活动。⽤户可以通过修改/etc/ftpacess让系统记录FTP的⼀切活动。
Linux⽇志系统简介
Linux⽇志系统
⽇志对于系统的安全来说⾮常重要,它记录了系统每天发⽣的各种各样的事情,⽤户可以通过它来检查错误发⽣的原因,或者寻受到攻击时攻击者留下的痕迹。⽇志主要的功能是审计和监测。它还可以实时地监测系统状态,监测和追踪侵⼊者。
Linux系统⼀般有3个主要的⽇志⼦系统:连接时间⽇志、进程统计⽇志和错误⽇志。
连接时间⽇志
连接时间⽇志由多个程序执⾏,把记录写⼊到/var/og/wtmp和/var/run/utmp。ogin等程序更新wtmp和utmp⽂件,使系统管理员能够跟踪谁在何时登录到系统。
进程统计⽇志
进程统计⽇志由系统内核执⾏。当⼀个进程终⽌时,为每个进程往进程统计⽂件(pacct或acct)中写⼀个记录。进程统计的⽬的是为系统中的基本服务提供命令使⽤统计。
错误⽇志
错误⽇志由sysogd(8)执⾏。各种系统守护进程、⽤户程序和内核通过sysog(3)向⽂件/var/og/messages报告值得注意的事件。另外还有许多UNIX类程序创建⽇志,像HTTP和FTP这样提供⽹络服务的服务器也有详细的⽇志。
RedHat Linux常见的⽇志⽂件和常⽤命令
成功地管理任何系统的关键之⼀,是要知道系统中正在发⽣什么事。Linux 中提供了异常⽇志,并且⽇志的细节是可配置的。Linux ⽇志都以明⽂形式存储,所以⽤户不需要特殊的⼯具就可以搜索和阅读它们。还可以编写脚本,来扫描这些⽇志,并基于它们的内容去⾃动执⾏某些功能。Linux ⽇志存储在 /var/log ⽬录中。这⾥有⼏个由系统维护的⽇志⽂件,但其他服务和程序也可能会把它们的⽇志放在这⾥。⼤多数⽇志只有root账户才可以读,不过修改⽂件的访问权限就可以让其他⼈可读。
RedHat Linux常⽤的⽇志⽂件
RedHat Linux常见的⽇志⽂件详述如下
/var/log/boot.log
该⽂件记录了系统在引导过程中发⽣的事件,就是Linux系统开机⾃检过程显⽰的信息。
/var/log/cron
该⽇志⽂件记录crontab守护进程crond所派⽣的⼦进程的动作,前⾯加上⽤户、登录时间和PID,以及派⽣出的进程的动作。CMD的⼀个动作是cron派⽣出⼀个调度进程的常见情况。REPLACE(替换)动作记录⽤户对它的cron⽂件的更新,该⽂件列出了要周期性执⾏的任务调度。RELOAD动作在REPLACE动作后不久发⽣,这意味着cron注意到⼀个⽤户的cron⽂件被更新⽽cron需要把它重新装⼊内存。该⽂件可能会查到⼀些反常的情况。
/var/log/maillog
该⽇志⽂件记录了每⼀个发送到系统或从系统发出的电⼦邮件的活动。它可以⽤来查看⽤户使⽤哪个系统发送⼯具或把数据发送到哪个系统。下⾯是该⽇志⽂件的⽚段:
Sep 4 17:23:52 UNIX sendmail[1950]: g849Npp01950: from=root, size=25,, nrcpts=1, msgid=<>,relay=root@localhostSep 该⽇志⽂件是许多进程⽇志⽂件的汇总,从该⽂件可以看出任何⼊侵企图或成功的⼊侵。如以下⼏⾏:
Sep 3 08:30:17 UNIX login[1275]: FAILED LOGIN 2 FROM (null) FOR suying, Authentication failureSep 4 17:40:28 UNIX — suying[2017]: LOGIN ON pts/1 BY suying FROMfcceec. 4 17:40:39 UNIX su(pam_unix)[2048]: session opened for user root by suying(uid=999)
该⽂件的格式是每⼀⾏包含⽇期、主机名、程序名,后⾯是包含PID或内核标识的⽅括号、⼀个冒号和⼀个空格,最后是消息。该⽂件有⼀个不⾜,就是被记录的⼊侵企图和成功的⼊侵事件,被淹没在⼤量的正常进程的记录中。但该⽂件可以由/etc/syslog⽂件进⾏定制。
由/f配置⽂件决定系统如何写⼊/var/messages。有关如何配置/f⽂件决定系统⽇志记录的⾏为,将在后⾯详细叙述。
/var/log/syslog
默认RedHat Linux不⽣成该⽇志⽂件,但可以配置/f让系统⽣成该⽇志⽂件。它和/etc/log/messages⽇志⽂件不同,它只记录警告信息,常常是系统出问题的信息,所以更应该关注该⽂件。要让系统⽣成该⽇志⽂件,在/f⽂件中加上:*.warning /var/log/syslog 该⽇志⽂件能记录当⽤户登录时login记录下的错误⼝令、Sendmail的问题、su命令执⾏失败等信息。下⾯是⼀条记录:Sep 6 16:47:52 UNIX login(pam_unix)[2384]: check pass; user unknown/var/log/secure该⽇志⽂件记录与安全相关的信息。该⽇志⽂件的部分内容如下:Sep 4 16:05:09 UNIX xinetd[711]: START: ftp pid=1815 from=127.0.0.1Sep 4 16:05:09 UNIX xinetd[1815]: USERID: ftp OTHER :rootSep 4 16:07:24 UNIX xinetd[711]: EXIT: ftp pid=1815 duration=135(sec)Sep 4 16:10:05 UNIX xinetd[711]: START: ftp
pid=1846 from=127.0.0.1Sep 4 16:10:05 UNIX xinetd[1846]: USERID: ftp OTHER :rootSep 4 16:16:26 UNIX xinetd[711]: EXIT: ftp
pid=1846 duration=381(sec)Sep 4 17:40:20 UNIX xinetd[711]: START: telnet pid=2016 from=10.152.8.2/var/log/lastlog
该⽇志⽂件记录最近成功登录的事件和最后⼀次不成功的登录事件,由login⽣成。在每次⽤户登录时被查询,该⽂件是⼆进制⽂件,需要使⽤lastlog命令查看,根据UID排序显⽰登录名、端⼝号和上次登录时间。如果某⽤户从来没有登录过,就显⽰为”**Never logged in**”。该命令只能以root权限执⾏。简单地输⼊lastlog命令后就会看到类似如下的信息:
Username Port From Latestroot tty2 Tue Sep 3 08:32:27 +0800 2002bin **Never logged in**daemon **Never logged in**adm **Never logged in**lp **Never logged in**sync **Never logged in**shutdown **Never logged in**halt **Never logged in**mail **Never logged
in**news **Never logged in**uucp **Never logged in**operator **Never logged in**games **Never logged in**gopher **Never logged in**ftp ftp UNIX Tue Sep 3 14:49:04 +0800 2002nobody **Never logged in**nscd **Never logged in**mailnull **Never logged in**ident **Never logged in**rpc **Never logged in**rpcuser **Never logged in**xfs **Never logged in**gdm **Never logged in**postgres **Neve
r logged
in**apache **Never logged in**lzy tty2 Mon Jul 15 08:50:37 +0800 2002suying tty2 Tue Sep 3 08:31:17 +0800 2002
系统账户诸如bin、daemon、adm、uucp、mail等决不应该登录,如果发现这些账户已经登录,就说明系统可能已经被⼊侵了。若发现记录的时间不是⽤户上次登录的时间,则说明该⽤户的账户已经泄密了。
/var/log/wtmp
该⽇志⽂件永久记录每个⽤户登录、注销及系统的启动、停机的事件。因此随着系统正常运⾏时间的增加,该⽂件的⼤⼩也会越来越⼤,增加的速度取决于系统⽤户登录的次数。该⽇志⽂件可以⽤来查看⽤户的登录记录,last命令就通过访问这个⽂件获得这些信息,并以反序从后向前显⽰⽤户的登录记录,last也能根据⽤户、终端 tty或时间显⽰相应的记录。
命令last有两个可选参数:
last -u ⽤户名显⽰⽤户上次登录的情况。
linux系统登录 last -t 天数显⽰指定天数之前的⽤户登录情况。
/var/run/utmp
该⽇志⽂件记录有关当前登录的每个⽤户的信息。因此这个⽂件会随着⽤户登录和注销系统⽽不断变化,它只保留当时联机的⽤户记录,不会为⽤户保留永久的记录。系统中需要查询当前⽤户状态的程序,如 who、w、users、finger等就需要访问这个⽂件。该⽇志⽂件并不能包括所有精确的信息,因为某些突发错误会终⽌⽤户登录会话,⽽系统没有及时更新 utmp记录,因此该⽇志⽂件的记录不是百分之百值得信赖的。
以上提及的3个⽂件(/var/log/wtmp、/var/run/utmp、/var/log/lastlog)是⽇志⼦系统的关键⽂件,都记录了⽤户登录的情况。这些⽂件的所有记录都包含了时间戳。这些⽂件是按⼆进制保存的,故不能⽤less、cat之类的命令直接查看这些⽂件,⽽是需要使⽤相关命令通过这些⽂件⽽查看。其中,utmp和wtmp⽂件的数据结构是⼀样的,⽽lastlog⽂件则使⽤另外的数据结构,关于它们的具体的数据结构可以使⽤man命令查询。
每次有⼀个⽤户登录时,login程序在⽂件lastlog中查看⽤户的UID。如果存在,则把⽤户上次登录、注销时间和主机名写到标准输出中,然后login程序在lastlog中记录新的登录时间,打开utmp⽂件并插⼊⽤户的utmp记录。该记录⼀直⽤到⽤户登录退出时删除。utmp⽂件被各种命令使⽤,包括who、w、users和finger。
下⼀步,login程序打开⽂件wtmp附加⽤户的utmp记录。当⽤户登录退出时,具有更新时间戳的同⼀utmp记录附加到⽂件中。wtmp⽂件被程序last使⽤。
/var/log/xferlog
该⽇志⽂件记录FTP会话,可以显⽰出⽤户向FTP服务器或从服务器拷贝了什么⽂件。该⽂件会显⽰⽤户拷贝到服务器上的⽤来⼊侵服务器的恶意程序,以及该⽤户拷贝了哪些⽂件供他使⽤。
该⽂件的格式为:第⼀个域是⽇期和时间,第⼆个域是下载⽂件所花费的秒数、远程系统名称、⽂件⼤⼩、本地路径名、传输类型(a:ASCII,b:⼆进制)、与压缩相关的标志或tar,或”_”(如果没有压缩的话)、传输⽅向(相对于服务器⽽⾔:i代表进,o代表出)、访问模式(a:匿名,g:输⼊⼝令,r:真实⽤户)、⽤户名、服务名(通常是ftp)、认证⽅法(l:RFC931,或0),认证⽤户的ID或”*”。下⾯是该⽂件的⼀条记录:
Wed Sep 4 08:14:03 2002 1 UNIX 275531 /var/ftp/lib/libnss_files-2.2.2.so b _ o a -root@UNIX ftp 0 * c/var/log/kernlog 4 17:23:55 UNIX sendmail[1950]: g849Npp01950: to=lzy@fcceec, ctladdr=root (0/0), delay=00:00:04, xdelay=00:00:03, mailer=esmtp, pri=30025,
relay=fcceec. [10.152.8.2], dsn=2.0.0, stat=Sent (Message queued)/var/log/messages
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论