linux系統(tǒng)日志解析 |
發(fā)布時(shí)間: 2012/9/8 18:05:25 |
Linux系統(tǒng)中的日志子系統(tǒng)對(duì)于系統(tǒng)安全來(lái)說(shuō)非常重要,它記錄了系統(tǒng)每天發(fā)生的各種各樣的事情,包括那些用戶(hù)曾經(jīng)或者正在使用系統(tǒng),可以通過(guò)日志來(lái)檢查錯(cuò)誤發(fā)生的原因,更重要的是在系統(tǒng)受到黑客攻擊后,日志可以記錄下攻擊者留下的痕跡,通過(guò)查看這些痕跡,系統(tǒng)管理員可以發(fā)現(xiàn)黑客攻擊的某些手段以及特點(diǎn),從而能夠進(jìn)行處理工作,為抵御下一次攻擊做好準(zhǔn)備。 ● 連接時(shí)間日志: 由多個(gè)程序執(zhí)行,把記錄寫(xiě)入到/var/log/wtmp和/var/run/utmp,login等程序會(huì)更新wtmp和utmp文件,使系統(tǒng)管理員能夠跟蹤誰(shuí)在何時(shí)登錄到系統(tǒng)。 ● 進(jìn)程統(tǒng)計(jì): 由系統(tǒng)內(nèi)核執(zhí)行,當(dāng)一個(gè)進(jìn)程終止時(shí),為每個(gè)進(jìn)程往進(jìn)程統(tǒng)計(jì)文件(pacct或acct)中寫(xiě)一個(gè)記錄。進(jìn)程統(tǒng)計(jì)的目的是為系統(tǒng)中的基本服務(wù)提供命令使用統(tǒng)計(jì)。 ● 錯(cuò)誤日志: 由syslogd(8)守護(hù)程序執(zhí)行,各種系統(tǒng)守護(hù)進(jìn)程、用戶(hù)程序和內(nèi)核通過(guò)syslogd(3)守護(hù)程序向文件/var/log/messages報(bào)告值得注意的事件。另外有許多Unix程序創(chuàng)建日志。像HTTP和FTP這樣提供網(wǎng)絡(luò)服務(wù)的服務(wù)器也保持詳細(xì)的日志。 常用的日志文件如下:
access-log 紀(jì)錄HTTP/web的傳輸 acct/pacct 紀(jì)錄用戶(hù)命令 aculog 紀(jì)錄MODEM的活動(dòng) btmp 紀(jì)錄失敗的紀(jì)錄 lastlog 紀(jì)錄最近幾次成功登錄的事件和最后一次不成功的登錄 messages 從syslog中記錄信息(有的鏈接到syslog文件) sudolog 紀(jì)錄使用sudo發(fā)出的命令 sulog 紀(jì)錄使用su命令的使用 syslog 從syslog中記錄信息(通常鏈接到messages文件) utmp 紀(jì)錄當(dāng)前登錄的每個(gè)用戶(hù) wtmp 一個(gè)用戶(hù)每次登錄進(jìn)入和退出時(shí)間的永久紀(jì)錄 xferlog 紀(jì)錄FTP會(huì)話(huà) 下面是日志級(jí)別
utmp、wtmp和lastlog日志文件是多數(shù)重用UNIX日志子系統(tǒng)的關(guān)鍵--保持用戶(hù) 登錄進(jìn)入和退出的紀(jì)錄。有關(guān)當(dāng)前登錄用戶(hù)的信息記錄在文件utmp中;登錄進(jìn)入和退出紀(jì)錄在文件wtmp中;最后一次登錄文件可以用lastlog命令察 看。數(shù)據(jù)交換、關(guān)機(jī)和重起也記錄在wtmp文件中。所有的紀(jì)錄都包含時(shí)間戳。這些文件(lastlog通常不大)在具有大量用戶(hù)的系統(tǒng)中增長(zhǎng)十分迅速。例 如wtmp文件可以無(wú)限增長(zhǎng),除非定期截取。許多系統(tǒng)以一天或者一周為單位把wtmp配置成循環(huán)使用。它通常由cron運(yùn)行的腳本來(lái)修改。這些腳本重新命 名并循環(huán)使用wtmp文件。通常,wtmp在第一天結(jié)束后命名為wtmp.1;第二天后wtmp.1變?yōu)閣tmp.2等等,直到wtmp.7。 每次有一個(gè)用戶(hù)登錄時(shí),login程序在文件lastlog中察看用戶(hù)的UID。如果找到了, 則把用戶(hù)上次登錄、退出時(shí)間和主機(jī)名寫(xiě)到標(biāo)準(zhǔn)輸出中,然后login程序在lastlog中紀(jì)錄新的登錄時(shí)間。在新的lastlog紀(jì)錄寫(xiě)入后,utmp 文件打開(kāi)并插入用戶(hù)的utmp紀(jì)錄。該紀(jì)錄一直用到用戶(hù)登錄退出時(shí)刪除。utmp文件被各種命令文件使用,包括who、w、users和finger。 下一步,login程序打開(kāi)文件wtmp附加用戶(hù)的utmp紀(jì)錄。當(dāng)用戶(hù)登錄退出時(shí),具有更新時(shí)間戳的同一utmp紀(jì)錄附加到文件中。wtmp文件被程序last和ac使用。 進(jìn)程統(tǒng)計(jì) linux可以跟蹤每個(gè)用戶(hù)運(yùn)行的每條命令,如果想知道昨晚弄亂了哪些重要的文件,進(jìn)程 統(tǒng)計(jì)子系統(tǒng)可以告訴你。它對(duì)還跟蹤一個(gè)侵入者有幫助。與連接時(shí)間日志不同,進(jìn)程統(tǒng)計(jì)子系統(tǒng)缺省不激活,它必須啟動(dòng)。在Linux系統(tǒng)中啟動(dòng)進(jìn)程統(tǒng)計(jì)使用 accton命令,必須用root身份來(lái)運(yùn)行。Accton命令的形式accton file,file必須先存在。先使用touch命令來(lái)創(chuàng)建pacct文件:touch /var/log/pacct,然后運(yùn)行accton: accton /var/log/pacct。一旦accton被激活,就可以使用lastcomm命令監(jiān)測(cè)系統(tǒng)中任何時(shí)候執(zhí)行的命令。若要關(guān)閉統(tǒng)計(jì),可以使用不帶任何 參數(shù)的accton命令。 lastcomm命令報(bào)告以前執(zhí)行的文件。不帶參數(shù)時(shí),lastcomm命令顯示當(dāng)前統(tǒng)計(jì)文件生命周期內(nèi)紀(jì)錄的所有命令的有關(guān)信息。包括命令名、用戶(hù)、tty、命令花費(fèi)的CPU時(shí)間和一個(gè)時(shí)間戳。如果系統(tǒng)有許多用戶(hù),輸入則可能很長(zhǎng)。下面的例子就體現(xiàn)了這點(diǎn):
crond F root ?? 0.00 secs Sun Aug 20 00:16 promisc_check.s S root ?? 0.04 secs Sun Aug 20 00:16 promisc_check root ?? 0.01 secs Sun Aug 20 00:16 grep root ?? 0.02 secs Sun Aug 20 00:16 tail root ?? 0.01 secs Sun Aug 20 00:16 sh root ?? 0.01 secs Sun Aug 20 00:15 ping S root ?? 0.01 secs Sun Aug 20 00:15 ping6.pl F root ?? 0.01 secs Sun Aug 20 00:15 sh root ?? 0.01 secs Sun Aug 20 00:15 ping S root ?? 0.02 secs Sun Aug 20 00:15 ping6.pl F root ?? 0.02 secs Sun Aug 20 00:15 sh root ?? 0.02 secs Sun Aug 20 00:15 ping S root ?? 0.00 secs Sun Aug 20 00:15 ping6.pl F root ?? 0.01 secs Sun Aug 20 00:15 sh root ?? 0.01 secs Sun Aug 20 00:15 ping S root ?? 0.01 secs Sun Aug 20 00:15 sh root ?? 0.02 secs Sun Aug 20 00:15 ping S root ?? 1.34 secs Sun Aug 20 00:15 locat
億恩科技地址(ADD):鄭州市黃河路129號(hào)天一大廈608室 郵編(ZIP):450008 傳真(FAX):0371-60123888 本文出自:億恩科技【mszdt.com】 服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM] |