透析Linux日誌查***

時間  2020-05-31
標籤 透析 linux 日誌 欄目 Linux 简体版
原文   原文鏈接
日誌對於網絡安全來講無疑是很是重要的,它記錄了系統天天發生的各類各樣的事,你能夠經過它來檢查錯誤發生的緣由,或者受到***後***者留下的痕跡。日誌主要的功能有審計和監測,同時它也能夠實時的監測系統狀態,監測***者。
日誌子系統分類
在Linux系統中,有三個主要的日誌子系統:
鏈接時間日誌——由多個程序執行,把紀錄寫入到/var/log/Wtmp和/var/run/Utmp,Login等程序更新Wtmp和Utmp文件,使系統管理員可以跟蹤誰在什麼時候登陸到系統。
進程統計——由系統內核執行。當一個進程終止時,爲每一個進程往進程統計文件(Pacct或Acct)中寫一個紀錄。進程統計的目的是爲系統中的基本服務提供命令使用統計。
錯誤日誌——由Syslogd(8)執行。各類系統守護進程、用戶程序和內核經過Syslog(3)向文件/var/log/messages報告值得注意的事件。另外有許多UNIX程序建立日誌。像HTTP和FTP這樣提供網絡服務的服務器也保持詳細的日誌。
經常使用的日誌文件以下:
Access-log:紀錄HTTP/WEB的傳輸。
Acct/pacct:紀錄用戶命令。
Aculog:紀錄MODEM的活動。
Btmp:紀錄失敗的紀錄。
Lastlog:紀錄最近幾回成功登陸的事件和最後一次不成功的登陸。
Messages:從Syslog中記錄信息(有的連接到Syslog文件)。
Sudolog:紀錄使用Sudo發出的命令。
Sulog:紀錄「su」的使用。
Utmp:紀錄當前登陸的每一個用戶。
Wtmp:一個用戶每次登陸進入和退出時間的永久紀錄。
Xferlog:紀錄FTP會話。
日誌記錄基本過程
Utmp、 Wtmp和Lastlog日誌文件是多數重用UNIX日誌子系統的關鍵——保持用戶登陸進入和退出的紀錄。有關當前登陸用戶的信息記錄在文件Utmp中; 登陸進入和退出紀錄在文件Wtmp中;最後一次登陸文件能夠用「Lastlog」命令察看。數據交換、關機和重起也記錄在Wtmp文件中。全部的紀錄都包 含時間戳。這些文件(Lastlog一般不大)在具備大量用戶的系統中增加十分迅速。例如Wtmp文件能夠無限增加,除非按期截取。許多系統以一天或者一 周爲單位把Wtmp配置成循環使用。它一般由Cron運行的腳原本修改。這些腳本從新命名並循環使用Wtmp文件。
小知識:一般Wtmp在第一天結束後命名爲Wtmp.1;次日後Wtmp.1變爲Wtmp.2,直到Wtmp.7。
每 次有一個用戶登陸時,Login程序在文件Lastlog中察看用戶的UID。若是找到了,則把用戶上次登陸、退出時間和主機名寫到標準輸出中,而後 Login程序在Lastlog中紀錄新的登陸時間。在新的Lastlog紀錄寫入後,Utmp文件打開並插入用戶的Utmp紀錄。該紀錄一直用到用戶登 錄退出時刪除。Utmp文件被各類命令文件使用,包括Who、Users和Finger。下一步,Login程序打開文件Wtmp附加用戶的Utmp紀 錄。當用戶登陸退出時,具備更新時間戳的同一Utmp紀錄附加到文件中。Wtmp文件被程序Last和AC使用。
查看具體日誌
Wtmp和Utmp文件都是二進制文件,它們不能被諸如Tail命令剪貼或合併(須要使用Cat命令),用戶須要使用Who、W、Users、Last和AC來使用這兩個文件包含的信息。
1.Who:該命令查詢Utmp文件並報告當前登陸的每一個用戶。Who的缺省輸出包括用戶名、終端類型、登陸日期及遠程主機。例如輸入Who回車後顯示:
chyang pts/0 Aug 18 15:06
ynguo pts/2 Aug 18 15:32
ynguo pts/3 Aug 18 13:55
lewis pts/4 Aug 18 13:35
ynguo pts/7 Aug 18 14:12
ylou pts/8 Aug 18 14:15
若是指明瞭Wtmp文件名,則Who命令查詢全部之前的紀錄。命令「Who /var/log/Wtmp」將報告從Wtmp文件建立或刪改以來的每一次登陸。
2.W:該命令查詢Utmp文件並顯示當前系統中每一個用戶和它所運行的進程信息。
3.Users:Users用單獨的一行顯示出當前登陸的用戶,每一個顯示的用戶名對應一個登陸會話。若是一個用戶有不止一個登陸會話,那他的用戶名將顯示相同的次數。例如輸入Users回車後顯示:
chyang lewis lewis ylou ynguo ynguo
4.Last:Last命令往回搜索Wtmp,顯示從文件第一次建立以來登陸過的用戶。例如:
chyang pts/9 202.38.68.242 Tue Aug 1 08:34 - 11:23 (02:49)
cfan pts/6 202.38.64.224 Tue Aug 1 08:33 - 08:48 (00:14)
chyang pts/4 202.38.68.242 Tue Aug 1 08:32 - 12:13 (03:40)
lewis pts/3 202.38.64.233 Tue Aug 1 08:06 - 11:09 (03:03)
lewis pts/2 202.38.64.233 Tue Aug 1 07:56 - 11:09 (03:12)
若是指明瞭用戶,那麼Last只報告該用戶的近期活動,例如:last ynguo顯示:
ynguo pts/4 simba.nic.ustc.e Fri Aug 4 16:50 - 08:20 (15:30)
ynguo pts/4 simba.nic.ustc.e Thu Aug 3 23:55 - 04:40 (04:44)
ynguo pts/11 simba.nic.ustc.e Thu Aug 3 20:45 - 22:02 (01:16)
ynguo pts/0 simba.nic.ustc.e Thu Aug 3 03:17 - 05:42 (02:25)
5.AC:AC命令根據當前的/var/log/Wtmp文件中的登陸進入和退出來報告用戶連結的時間(小時),若是不使用標誌,則報告總的時間。例如:ac,顯示:
total 5177.47
ac -d(回車)顯示天天的總的連結時間:
Aug 12 total 261.87
Aug 13 total 351.39
Aug 14 total 396.09
Aug 15 total 462.63
Aug 16 total 270.45
ac -p(回車)顯示每一個用戶的總的鏈接時間:
ynguo 193.23
yucao 3.35
rong 133.40
hdai 10.52
6.Lastlog:Lastlog文件在每次有用戶登陸時被查詢。可使用Lastlog命令來檢查某特定用戶上次登陸的時間,並格式化輸出上次登陸日誌/var/log/Lastlog的內容。它根據UID排序顯示登陸名、端口號(tty)和上次登陸時間。例如:
rong 5 202.38.64.187 Fri
Aug 18 15:57:01 +0800 2000
dbb
**Never logged in**
xinchen
**Never logged in**
pb9511
**Never logged in**
小知識:若是一個用戶從未登陸過,Lastlog顯示"**Never logged**。注意這個命令須要以ROOT權限運行。
另外,可在命令後加一些參數實現其它的功能,例如「last -u 102」將報告UID爲102的用戶,「last -t 7」表示限制上一週的報告。
進程審查
UNIX 能夠跟蹤每一個用戶運行的每條命令,若是想知道昨晚別人弄亂了哪些重要的文件,進程統計子系統能夠告訴你,這一點無疑對跟蹤***者頗有幫助。與鏈接時間日誌 不一樣,進程統計子系統缺省不激活,它必須啓動。在Linux系統中啓動進程統計使用Accton命令,必須用ROOT身份來運行。先使用Touch命令來 建立Pacct文件:
touch /var/log/pact
而後運行Accton:
Accton /var/log/pact
一旦Accton被激活,就可使用Lastcomm命令監測系統中任什麼時候候執行的命令。若要關閉統計,可使用不帶任何參數的Accton命令。
小知識:Lastcomm命令報告之前執行的文件。不帶參數時,Lastcomm命令顯示當前統計文件生命週期內紀錄的全部命令的有關信息。包括命令名、用戶、TTY、命令耗費的CPU時間和一個時間戳。若是系統有許多用戶,輸入則可能很長。
進程統計存在的一個問題是Pacct文件可能增加的十分迅速。這時須要交互式或通過Cron機制運行SA命令來保持日誌數據在系統控制內。
小 知識:SA命令報告、清理並維護進程統計文件。它能把/var/log/pacct中的信息壓縮到摘要文件/var/log/savacct和/var /log/usracct中。這些摘要包含按命令名和用戶名分類的系通通計數據。SA缺省狀況下先讀它們,而後讀Pacct文件,使報告能包含全部的可用 信息。SA的輸出有下面一些標記項:
Avio——每次執行的平均I/O操做次數
Cp——用戶和系統時間總和,以分鐘計
Cpu——和cp同樣
K——內核使用的平均CPU時間,以1k爲單位
K*sec——CPU存儲完整性,以1k-core秒
Syslog設備
Syslog已被許多日誌函數採納,它用在許多保護措施中。Syslog能夠紀錄系統事件並寫到一個文件或設備中,或給用戶發送一個信息。它能紀錄本地事件或經過網絡紀錄另外一個主
機上的事件。
Syslog 設備依據兩個重要的文件:/etc/Syslogd(守護進程)和/etc/Syslog.conf配置文件,習慣上,多數Syslog信息被寫到 /var/adm或/var/log目錄下的信息文件(messages.*)中。一個典型的Syslog紀錄包括生成程序的名字和一個文本信息。它還包 括一個設備和一個優先級範圍,每一個Syslog消息被賦予下面的主要設備之一:
LOG_AUTH——認證系統:Login、SU、Getty等。
LOG_CRON——Cron守護進程。
LOG_DAEMON——其它系統守護進程,如Routed。
LOG_FTP——文件傳輸協議:Ftpd、Tftpd。
LOG_KERN——內核產生的消息。
LOG_MAIL——電子郵件系統。
LOG_SYSLOG——由Syslogd(8)產生的內部消息。
LOG_LOCAL0~LOG_LOCAL7——本地使用保留。
Syslog爲每一個事件賦予幾個不一樣的優先級:
LOG_EMERG——緊急狀況。
LOG_ALERT——應該被當即改正的問題,如系統數據庫破壞。
LOG_CRIT——重要狀況,如硬盤錯誤。
LOG_ERR——錯誤。
LOG_WARNING——警告信息。
LOG_NOTICE——不是錯誤狀況,可是可能須要處理。
LOG_INFO——情報信息。
Syslog.conf 文件指明Syslogd程序紀錄日誌的行爲,該程序在啓動時查詢配置文件。該文件由不一樣程序或消息分類的單個條目組成,每一個佔一行。對每類消息提供一個選 擇域和一個動做域。這些域由Tab隔開:選擇域指明消息的類型和優先級;動做域指明Syslogd接收到一個與選擇標準相匹配的消息時所執行的動做。每一個 選項是由設備和優先級組成。當指明一個優先級時,Syslogd將紀錄一個擁有相同或更高優先級的消息。因此若是指明「crit」,那全部標爲Crit、 Alert和Emerg的消息將被紀錄。每行的行動域指明當選擇域選擇了一個給定消息後應該把他發送到哪兒。例如,若是想把全部郵件消息紀錄到一個文件 中,以下:
#Log all the mail messages in one place mail.* /var/log/maillog
其它設備也有本身的日誌,UUCP和News設備能產生許多外部消息。它把這些消息存到本身的日誌(/var/log/spooler)中並把級別限爲「err」或更高。例如:
# Save mail and news errors of level err and higher in aspecial file.uucp,news.crit /var/log/spooler
當一個緊急消息到來時,可能想讓全部的用戶都獲得。也可能想讓本身的日誌接收並保存:
#Everybody gets emergency messages, plus log them on anther machine *.emerg * *.emerg @linuxaid.com.cn
Alert消息應該寫到ROOT和Tiger的我的帳號中:
#ROOT and Tiger get alert and higher messages *.alert ROOT,tiger
小提示:有時Syslogd將產生大量的消息,例如內核(Kern設備)可能很冗長,用戶可能想把內核消息紀錄到/dev/console中。下面的例子代表內核日誌紀錄被註釋掉了:
#Log all kernel messages to the console
#Logging much else clutters up the screen
#kern.* /dev/console
用戶能夠在一行中指明全部的設備。下面的例子把Info或更高級別的消息送到/var/log/messages,除了Mail之外。級別「none」禁止一個設備:
#Log anything(except mail)of level info or higher
#Don't log private authentication messages!
*.info:mail.none;authpriv.none /var/log/messages
在有些狀況下能夠把日誌送到打印機,這樣網絡***者怎麼修改日誌都沒有用了。
小提示:有個小命令Logger爲Syslog(3)系統日誌文件提供一個Shell命令接口,使用戶能建立日誌文件中的條目。例如:logger This is a test。它將產生一個以下的Syslog紀錄:
Aug 19 22:22:34 tiger: This is a test!
因此不要徹底相信日誌,由於***者很容易修改它的。
經過上面對Linux的日誌瞭解,咱們就能夠更好的實時監測系統狀態,監測和追蹤侵入者的行蹤了!
Posted by vitter at 2008-08-14 15:31:50 | 評論 (0) | 引用

使用logrotate 管理日誌文件

對於Linux 的系統安全來講,日誌文件是極其重要的工具。系統管理員可使用logrotate 程序用來管理系統中的最新的事件。
對於Linux 的系統安全來講,日誌文件是極其重要的工具。
系統管理員可使用logrotate 程序用來管理系統中的最新的事件。logrotate 還能夠用來備份日誌文件,本篇將經過如下幾部分來介紹
日誌文件的管理:
一、logrotate 配置
二、缺省配置 logrotate
三、使用include 選項讀取其餘配置文件
四、使用include 選項覆蓋缺省配置
五、爲指定的文件配置轉儲參數
1、logrotate 配置
logrotate 程序是一個日誌文件管理工具。用來把舊的日誌文件刪除,並建立新的日誌文件,咱們把它叫作「轉儲」。咱們能夠根據日誌文件的大小,也能夠根據其天數來轉儲,這個過程通常經過 cron 程序來執行。
logrotate 程序還能夠用於壓縮日誌文件,以及發送日誌到指定的E-mail 。
logrotate 的配置文件是 /etc/logrotate.conf。主要參數以下表:
參數 功能
compress 經過gzip 壓縮轉儲之後的日誌
nocompress 不須要壓縮時,用這個參數
copytruncate 用於還在打開中的日誌文件,把當前日誌備份並截斷
nocopytruncate 備份日誌文件可是不截斷
create mode owner group 轉儲文件,使用指定的文件模式建立新的日誌文件
nocreate 不創建新的日誌文件
delaycompress 和 compress 一塊兒使用時,轉儲的日誌文件到下一次轉儲時才壓縮
nodelaycompress 覆蓋 delaycompress 選項,轉儲同時壓縮。
errors address 專儲時的錯誤信息發送到指定的Email 地址
ifempty 即便是空文件也轉儲,這個是 logrotate 的缺省選項。
notifempty 若是是空文件的話,不轉儲
mail address 把轉儲的日誌文件發送到指定的E-mail 地址
nomail 轉儲時不發送日誌文件
olddir directory 轉儲後的日誌文件放入指定的目錄,必須和當前日誌文件在同一個文件系統
noolddir 轉儲後的日誌文件和當前日誌文件放在同一個目錄下
prerotate/endscript 在轉儲之前須要執行的命令能夠放入這個對,這兩個關鍵字必須單獨成行
postrotate/endscript 在轉儲之後須要執行的命令能夠放入這個對,這兩個關鍵字必須單獨成行
daily 指定轉儲週期爲天天
weekly 指定轉儲週期爲每週
monthly 指定轉儲週期爲每個月
rotate count 指定日誌文件刪除以前轉儲的次數,0 指沒有備份,5 指保留5 個備份
tabootext [+] list 讓logrotate 不轉儲指定擴展名的文件,缺省的擴展名是:.rpm-orig, .rpmsave, v, 和 ~
size size 當日志文件到達指定的大小時才轉儲,Size 能夠指定 bytes (缺省)以及KB (sizek)或者MB (sizem).
2、缺省配置 logrotate
logrotate 缺省的配置募??/etc/logrotate.conf。
Red Hat Linux 缺省安裝的文件內容是:
# see "man logrotate" for details
# rotate log files weekly
weekly
# keep 4 weeks worth of backlogs
rotate 4
# send errors to root
errors root
# create new (empty) log files after rotating old ones
create
# uncomment this if you want your log files compressed
#compress
1
# RPM packages drop log rotation information into this directory
include /etc/logrotate.d
# no packages own lastlog or wtmp --we'll rotate them here
/var/log/wtmp {
monthly
create 0664 root utmp
rotate 1
}
/var/log/lastlog {
monthly
rotate 1
}
# system-specific logs may be configured here
缺省的配置通常放在logrotate.conf 文件的最開始處,影響整個系統。在本例中就是前面12行。
第三行weekly 指定全部的日誌文件每週轉儲一次。
第五行 rotate 4 指定轉儲文件的保留 4份。
第七行 errors root 指定錯誤信息發送給root。
第九行create 指定 logrotate 自動創建新的日誌文件,新的日誌文件具備和
原來的文件同樣的權限。
第11行 #compress 指定不壓縮轉儲文件,若是須要壓縮,去掉註釋就能夠了。
3、使用include 選項讀取其餘配置文件
include 選項容許系統管理員把分散到幾個文件的轉儲信息,集中到一個
主要的配置文件。當 logrotate 從logrotate.conf 讀到include 選項時,會從指定文件讀入配置信息,就好像他們已經在/etc/logrotate.conf 中同樣。
第 13行 include /etc/logrotate.d 告訴 logrotate 讀入存放在/etc/logrotate.d 目錄中的日誌轉儲參數,當系統中安裝了RPM 軟件包時,使用include 選項十分有用。RPM 軟件包的日誌轉儲參數通常存放在/etc/logrotate.d 目錄。
include 選項十分重要,一些應用把日誌轉儲參數存放在 /etc/logrotate.d 。
典型的應用有:apache, linuxconf, samba, cron 以及syslog。
這樣,系統管理員只要管理一個 /etc/logrotate.conf 文件就能夠了。
4、使用include 選項覆蓋缺省配置
當 /etc/logrotate.conf 讀入文件時,include 指定的文件中的轉儲參數將覆蓋缺省的參數,以下例:
# linuxconf 的參數
/var/log/htmlaccess.log
{ errors jim
notifempty
nocompress
weekly
prerotate
/usr/bin/chattr -a /var/log/htmlaccess.log
endscript
postrotate
/usr/bin/chattr +a /var/log/htmlaccess.log
endscript
}
/var/log/netconf.log
{ nocompress
monthly
}
在這個例子中,當 /etc/logrotate.d/linuxconf 文件被讀入時,下面的參數將覆蓋/etc/logrotate.conf中缺省的參數。
Notifempty
errors jim
5、爲指定的文件配置轉儲參數
常常須要爲指定文件配置參數,一個常見的例子就是每個月轉儲/var/log/wtmp。爲特定文件而使用的參數格式是:
# 註釋
/full/path/to/file
{
option(s)
}
下面的例子就是每個月轉儲 /var/log/wtmp 一次:
#Use logrotate to rotate wtmp
/var/log/wtmp
{
monthly
rotate 1
}
6、其餘須要注意的問題
一、儘管花括號的開頭能夠和其餘文本放在同一行上,可是結尾的花括號必須單獨成行。
二、使用 prerotate 和 postrotate 選項
下面的例子是典型的腳本 /etc/logrotate.d/syslog,這個腳本只是對
/var/log/messages 有效。
/var/log/messages
{
prerotate
/usr/bin/chattr -a /var/log/messages
endscript
postrotate
/usr/bin/kill -HUP syslogd
/usr/bin/chattr +a /var/log/messages
endscript
}
第一行指定腳本對 /var/log messages 有效
花ê哦閱誆康慕瘧駒誦杏? /var/log/messages
prerotate 命令指定轉儲之前的動做/usr/bin/chattr -a 去掉/var/log/messages文件的「只追加」屬性 endscript 結束 prerotate 部分的腳本postrotate 指定轉儲後的動做
/usr/bin/killall -HUP syslogd
用來從新初始化系統日誌守護程序 syslogd
/usr/bin/chattr +a /var/log/messages
從新爲 /var/log/messages 文件指定「只追加」屬性,這樣防治程序員或用戶覆蓋此文件。
最後的 endscript 用於結束 postrotate 部分的腳本
三、logrotate 的運行分爲三步:
判斷系統的日誌文件,創建轉儲計劃以及參數,經過cron daemon 運行下面的代碼是 Red Hat Linux 缺省的crontab 來天天運行logrotate。
#/etc/cron.daily/logrotate
#! /bin/sh
/usr/sbin/logrotate /etc/logrotate.conf
四、/var/log/messages 不能產生的緣由:
這種狀況不多見,可是若是你把/etc/services 中的 514/UDP 端口關掉的話,這個文件就不能產生了。
小 結:本文經過對Red Hat 系統上典型的logrotate 配置例子的介紹,詳細說明了logrotate 程序的應用方法。但願對全部Linux 系統管理員有所幫助。管理好,分析好日誌文件是系統安全的第一步,在之後的文章裏FreeLAMP還會介紹另一個檢查日誌的好東東 logcheck。
PS:最近有朋友問一些日誌相關的,如何經過日誌查***跡象的問題,就貼幾篇log相關的文檔。
Posted by vitter at 2008-08-14 12:03:50 | 評論 (0) | 引用

理解Linux系統的日誌

1. 日誌簡介
  日誌對於安全來講,很是重要,他記錄了系統天天發生的各類各樣的事情,你能夠經過他來檢查錯誤發生的緣由,或者受到***時***者留下的痕跡。日誌主要的功能有:審計和監測。他還能夠實時的監測系統狀態,監測和追蹤侵入者等等。
  在Linux系統中,有三個主要的日誌子系統:
  鏈接時間日誌--由多個程序執行,把紀錄寫入到/var/log/wtmp和/var/run/utmp,login等程序更新wtmp和utmp文件,使系統管理員可以跟蹤誰在什麼時候登陸到系統。
  進程統計--由系統內核執行。當一個進程終止時,爲每一個進程往進程統計文件(pacct或acct)中寫一個紀錄。進程統計的目的是爲系統中的基本服務提供命令使用統計。
  錯誤日誌--由syslogd(8)執行。各類系統守護進程、用戶程序和內核經過syslog(3)向文件/var/log/messages報告值得注意的事件。另外有許多UNIX程序建立日誌。像HTTP和FTP這樣提供網絡服務的服務器也保持詳細的日誌。
  經常使用的日誌文件以下:
  access-log 紀錄HTTP/web的傳輸
  acct/pacct 紀錄用戶命令
  aculog 紀錄MODEM的活動
  btmp 紀錄失敗的紀錄
  lastlog 紀錄最近幾回成功登陸的事件和最後一次不成功的登陸
  messages 從syslog中記錄信息(有的連接到syslog文件)
  sudolog 紀錄使用sudo發出的命令
  sulog 紀錄使用su命令的使用
  syslog 從syslog中記錄信息(一般連接到messages文件)
  utmp 紀錄當前登陸的每一個用戶
  wtmp 一個用戶每次登陸進入和退出時間的永久紀錄
  xferlog 紀錄FTP會話
   utmp、wtmp和lastlog日誌文件是多數重用UNIX日誌子系統的關鍵--保持用戶登陸進入和退出的紀錄。有關當前登陸用戶的信息記錄在文件 utmp中;登陸進入和退出紀錄在文件wtmp中;最後一次登陸文件能夠用lastlog命令察看。數據交換、關機和重起也記錄在wtmp文件中。全部的 紀錄都包含時間戳。這些文件(lastlog一般不大)在具備大量用戶的系統中增加十分迅速。例如wtmp文件能夠無限增加,除非按期截取。許多系統以一 天或者一週爲單位把wtmp配置成循環使用。它一般由cron運行的腳原本修改。這些腳本從新命名並循環使用wtmp文件。一般,wtmp在第一天結束後 命名爲wtmp.1;次日後wtmp.1變爲wtmp.2等等,直到wtmp.7。
  每次有一個用戶登陸時,login程序在文件 lastlog中察看用戶的UID。若是找到了,則把用戶上次登陸、退出時間和主機名寫到標準輸出中,而後login程序在lastlog中紀錄新的登陸 時間。在新的lastlog紀錄寫入後,utmp文件打開並插入用戶的utmp紀錄。該紀錄一直用到用戶登陸退出時刪除。utmp文件被各類命令文件使 用,包括who、w、users和finger。
  下一步,login程序打開文件wtmp附加用戶的utmp紀錄。當用戶登陸退出時,具備更新時間戳的同一utmp紀錄附加到文件中。wtmp文件被程序last和ac使用。
  2. 具體命令
  wtmp和utmp文件都是二進制文件,他們不能被諸如tail命令剪貼或合併(使用cat命令)。用戶須要使用who、w、users、last和ac來使用這兩個文件包含的信息。
  who:who命令查詢utmp文件並報告當前登陸的每一個用戶。Who的缺省輸出包括用戶名、終端類型、登陸日期及遠程主機。例如:who(回車)顯示
chyang pts/0 Aug 18 15:06
ynguo pts/2 Aug 18 15:32
ynguo pts/3 Aug 18 13:55
lewis pts/4 Aug 18 13:35
ynguo pts/7 Aug 18 14:12
ylou pts/8 Aug 18 14:15
  若是指明瞭wtmp文件名,則who命令查詢全部之前的紀錄。命令who /var/log/wtmp將報告自從wtmp文件建立或刪改以來的每一次登陸。
  w:w命令查詢utmp文件並顯示當前系統中每一個用戶和它所運行的進程信息。例如:w(回車)顯示:3:36pm up 1 day, 22:34, 6 users, load average: 0.23, 0.29, 0.27
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
chyang pts/0 202.38.68.242 3:06pm 2:04 0.08s 0.04s -bash
ynguo pts/2 202.38.79.47 3:32pm 0.00s 0.14s 0.05s w
lewis pts/3 202.38.64.233 1:55pm 30:39 0.27s 0.22s -bash
lewis pts/4 202.38.64.233 1:35pm 6.00s 4.03s 0.01s sh /home/users/
ynguo pts/7 simba.nic.ustc.e 2:12pm 0.00s 0.47s 0.24s telnet mail
ylou pts/8 202.38.64.235 2:15pm 1:09m 0.10s 0.04s -bash
   users:users用單獨的一行打印出當前登陸的用戶,每一個顯示的用戶名對應一個登陸會話。若是一個用戶有不止一個登陸會話,那他的用戶名將顯示相 同的次數。例如:users(回車)顯示:chyang lewis lewis ylou ynguo ynguo
  last:last命令往回搜索wtmp來顯示自從文件第一次建立以來登陸過的用戶。例如:
chyang pts/9 202.38.68.242 Tue Aug 1 08:34 - 11:23 (02:49)
cfan pts/6 202.38.64.224 Tue Aug 1 08:33 - 08:48 (00:14)
chyang pts/4 202.38.68.242 Tue Aug 1 08:32 - 12:13 (03:40)
lewis pts/3 202.38.64.233 Tue Aug 1 08:06 - 11:09 (03:03)
lewis pts/2 202.38.64.233 Tue Aug 1 07:56 - 11:09 (03:12)
  若是指明瞭用戶,那麼last只報告該用戶的近期活動,例如:last ynguo(回車)顯示:
ynguo pts/4 simba.nic.ustc.e Fri Aug 4 16:50 - 08:20 (15:30)
ynguo pts/4 simba.nic.ustc.e Thu Aug 3 23:55 - 04:40 (04:44)
ynguo pts/11 simba.nic.ustc.e Thu Aug 3 20:45 - 22:02 (01:16)
ynguo pts/0 simba.nic.ustc.e Thu Aug 3 03:17 - 05:42 (02:25)
ynguo pts/0 simba.nic.ustc.e Wed Aug 2 01:04 - 03:16 1+02:12)
ynguo pts/0 simba.nic.ustc.e Wed Aug 2 00:43 - 00:54 (00:11)
ynguo pts/9 simba.nic.ustc.e Thu Aug 1 20:30 - 21:26 (00:55)
  ac:ac命令根據當前的/var/log/wtmp文件中的登陸進入和退出來報告用戶連結的時間(小時),若是不使用標誌,則報告總的時間。例如:ac(回車)顯示:total 5177.47
  ac -d(回車)顯示天天的總的連結時間
Aug 12 total 261.87
Aug 13 total 351.39
Aug 14 total 396.09
Aug 15 total 462.63
Aug 16 total 270.45
Aug 17 total 104.29
Today total 179.02
  ac -p (回車)顯示每一個用戶的總的鏈接時間
ynguo 193.23
yucao 3.35
rong 133.40
hdai 10.52
zjzhu 52.87
zqzhou 13.14
liangliu 24.34
total 5178.24
   lastlog:lastlog文件在每次有用戶登陸時被查詢。可使用lastlog命令來檢查某特定用戶上次登陸的時間,並格式化輸出上次登陸日誌 /var/log/lastlog的內容。它根據UID排序顯示登陸名、端口號(tty)和上次登陸時間。若是一個用戶從未登陸過,lastlog顯 示"**Never logged**。注意須要以root運行該命令,例如:
rong 5 202.38.64.187 Fri Aug 18 15:57:01 +0800 2000
dbb **Never logged in**
xinchen **Never logged in**
pb9511 **Never logged in**
xchen 0 202.38.64.190 Sun Aug 13 10:01:22 +0800 2000
  另外,可一加一些參數,例如,last -u 102將報告UID爲102的用戶;last -t 7表示限制上一週的報告。
  3. 進程統計
   UNIX能夠跟蹤每一個用戶運行的每條命令,若是想知道昨晚弄亂了哪些重要的文件,進程統計子系統能夠告訴你。它對還跟蹤一個侵入者有幫助。與鏈接時間日 志不一樣,進程統計子系統缺省不激活,它必須啓動。在Linux系統中啓動進程統計使用accton命令,必須用root身份來運行。Accton命令的形 式accton file,file必須先存在。先使用touch命令來建立pacct文件:touch /var/log/pacct,而後運行accton: accton /var/log/pacct。一旦accton被激活,就可使用lastcomm命令監測系統中任什麼時候候執行的命令。若要關閉統計,可使用不帶任何 參數的accton命令。
  lastcomm命令報告之前執行的文件。不帶參數時,lastcomm命令顯示當前統計文件生命週期內紀錄的全部命令的有關信息。包括命令名、用戶、tty、命令花費的CPU時間和一個時間戳。若是系統有許多用戶,輸入則可能很長。下面的例子:
crond F root ?? 0.00 secs Sun Aug 20 00:16
promisc_check.s S root ?? 0.04 secs Sun Aug 20 00:16
promisc_check root ?? 0.01 secs Sun Aug 20 00:16
grep root ?? 0.02 secs Sun Aug 20 00:16
tail root ?? 0.01 secs Sun Aug 20 00:16
sh root ?? 0.01 secs Sun Aug 20 00:15
ping S root ?? 0.01 secs Sun Aug 20 00:15
ping6.pl F root ?? 0.01 secs Sun Aug 20 00:15
sh root ?? 0.01 secs Sun Aug 20 00:15
ping S root ?? 0.02 secs Sun Aug 20 00:15
ping6.pl F root ?? 0.02 secs Sun Aug 20 00:15
sh root ?? 0.02 secs Sun Aug 20 00:15
ping S root ?? 0.00 secs Sun Aug 20 00:15
ping6.pl F root ?? 0.01 secs Sun Aug 20 00:15
sh root ?? 0.01 secs Sun Aug 20 00:15
ping S root ?? 0.01 secs Sun Aug 20 00:15
sh root ?? 0.02 secs Sun Aug 20 00:15
ping S root ?? 1.34 secs Sun Aug 20 00:15
locate root ttyp0 1.34 secs Sun Aug 20 00:15
accton S root ttyp0 0.00 secs Sun Aug 20 00:15
   進程統計的一個問題是pacct文件可能增加的十分迅速。這時須要交互式的或通過cron機制運行sa命令來保持日誌數據在系統控制內。sa命令報告、 清理並維護進程統計文件。它能把/var/log/pacct中的信息壓縮到摘要文件/var/log/savacct和/var/log /usracct中。這些摘要包含按命令名和用戶名分類的系通通計數據。sa缺省狀況下先讀它們,而後讀pacct文件,使報告能包含全部的可用信息。 sa的輸出有下面一些標記項:
  avio--每次執行的平均I/O操做次數
  cp--用戶和系統時間總和,以分鐘計
  cpu--和cp同樣
  k--內核使用的平均CPU時間,以1k爲單位
  k*sec--CPU存儲完整性,以1k-core秒
  re--實時時間,以分鐘計
  s--系統時間,以分鐘計
  tio--I/O操做的總數
  u--用戶時間,以分鐘計
  例如:
842 173.26re 4.30cp 0avio 358k
2 10.98re 4.06cp 0avio 299k find
9 24.80re 0.05cp 0avio 291k ***other
105 30.44re 0.03cp 0avio 302k ping
104 30.55re 0.03cp 0avio 394k sh
162 0.11re 0.03cp 0avio 413k security.sh*
154 0.03re 0.02cp 0avio 273k ls
56 31.61re 0.02cp 0avio 823k ping6.pl*
2 3.23re 0.02cp 0avio 822k ping6.pl
35 0.02re 0.01cp 0avio 257k md5sum
97 0.02re 0.01cp 0avio 263k initlog
12 0.19re 0.01cp 0avio 399k promisc_check.s
15 0.09re 0.00cp 0avio 288k grep
11 0.08re 0.00cp 0avio 332k awk
  用戶還能夠根據用戶而不是命令來提供一個摘要報告。例如sa -m顯示以下:
885 173.28re 4.31cp 0avk
root 879 173.23re 4.31cp 0avk
alias 3 0.05re 0.00cp 0avk
qmailp 3 0.01re 0.00cp 0avk
  4. Syslog設備
  Syslog已被許多日誌函數採納,它用在許多保護措施中--任何程序均可以經過syslog 紀錄事件。Syslog能夠紀錄系統事件,能夠寫到一個文件或設備中,或給用戶發送一個信息。它能紀錄本地事件或經過網絡紀錄另外一個主機上的事件。
   Syslog設備依據兩個重要的文件:/etc/syslogd(守護進程)和/etc/syslog.conf配置文件,習慣上,多數syslog信 息被寫到/var/adm或/var/log目錄下的信息文件中(messages.*)。一個典型的syslog紀錄包括生成程序的名字和一個文本信 息。它還包括一個設備和一個優先級範圍(但不在日之中出現)。
  每一個syslog消息被賦予下面的主要設備之一:
  LOG_AUTH--認證系統:login、su、getty等
  LOG_AUTHPRIV--同LOG_AUTH,但只登陸到所選擇的單個用戶可讀的文件中
  LOG_CRON--cron守護進程
  LOG_DAEMON--其餘系統守護進程,如routed
  LOG_FTP--文件傳輸協議:ftpd、tftpd
  LOG_KERN--內核產生的消息
  LOG_LPR--系統打印機緩衝池:lpr、lpd
  LOG_MAIL--電子郵件系統
  LOG_NEWS--網絡新聞系統
  LOG_SYSLOG--由syslogd(8)產生的內部消息
  LOG_USER--隨機用戶進程產生的消息
  LOG_UUCP--UUCP子系統
  LOG_LOCAL0~LOG_LOCAL7--爲本地使用保留
  Syslog爲每一個事件賦予幾個不一樣的優先級:
  LOG_EMERG--緊急狀況
  LOG_ALERT--應該被當即改正的問題,如系統數據庫破壞
  LOG_CRIT--重要狀況,如硬盤錯誤
  LOG_ERR--錯誤
  LOG_WARNING--警告信息
  LOG_NOTICE--不是錯誤狀況,可是可能須要處理
  LOG_INFO--情報信息
  LOG_DEBUG--包含情報的信息,一般旨在調試一個程序時使用
   syslog.conf文件指明syslogd程序紀錄日誌的行爲,該程序在啓動時查詢配置文件。該文件由不一樣程序或消息分類的單個條目組成,每一個佔一 行。對每類消息提供一個選擇域和一個動做域。這些域由tab隔開:選擇域指明消息的類型和優先級;動做域指明syslogd接收到一個與選擇標準相匹配的 消息時所執行的動做。每一個選項是由設備和優先級組成。當指明一個優先級時,syslogd將紀錄一個擁有相同或更高優先級的消息。因此若是指 明"crit",那全部標爲crit、alert和emerg的消息將被紀錄。每行的行動域指明當選擇域選擇了一個給定消息後應該把他發送到哪兒。例如, 若是想把全部郵件消息紀錄到一個文件中,以下:
#Log all the mail messages in one place
mail.* /var/log/maillog
  其餘設備也有本身的日誌。UUCP和news設備能產生許多外部消息。它把這些消息存到本身的日誌(/var/log/spooler)中並把級別限爲"err"或更高。例如:
# Save mail and news errors of level err and higher in aspecial file.
uucp,news.crit /var/log/spooler
  當一個緊急消息到來時,可能想讓全部的用戶都獲得。也可能想讓本身的日誌接收並保存。
#Everybody gets emergency messages, plus log them on anther machine
*.emerg *
*.emerg @linuxaid.com.cn
  alert消息應該寫到root和tiger的我的帳號中:
#Root and Tiger get alert and higher messages
*.alert root,tiger
  有時syslogd將產生大量的消息。例如內核("kern"設備)可能很冗長。用戶可能想把內核消息紀錄到/dev/console中。下面的例子代表內核日誌紀錄被註釋掉了:
#Log all kernel messages to the console
#Logging much else clutters up the screen
#kern.* /dev/console
  用戶能夠在一行中指明全部的設備。下面的例子把info或更高級別的消息送到/var/log/messages,除了mail之外。級別"none"禁止一個設備:
#Log anything(except mail)of level info or higher
#Don't log private authentication messages!
*.info:mail.none;authpriv.none /var/log/messages
  在有些狀況下,能夠把日誌送到打印機,這樣網絡***者怎麼修改日誌都沒有用了。一般要普遍紀錄日誌。Syslog設備是一個***者的顯著目標。一個爲其餘主機維護日誌的系統對於防範服務器***特別脆弱,所以要特別注意。
  有個小命令logger爲syslog(3)系統日誌文件提供一個shell命令接口,使用戶能建立日誌文件中的條目。用法:logger 例如:logger This is a test!
  它將產生一個以下的syslog紀錄:Aug 19 22:22:34 tiger: This is a test!
  注意不要徹底相信日誌,由於***者很容易修改它的。
  5. 程序日誌
  許多程序經過維護日誌來反映系統的安全狀態。su命令容許用戶得到另外一個用戶的權限,因此它的安全很重要,它的文件爲sulog。一樣的還有sudolog。另外,想Apache有兩個日誌:access_log和error_log。
  6. 其餘日誌工具
相關文章
相關標籤/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公眾號
   歡迎關注本站公眾號,獲取更多信息
聯繫我們 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程