linux系統(tǒng)日志解析

Linux系統(tǒng)中的日志子系統(tǒng)對于系統(tǒng)安全來說非常重要，它記錄了系統(tǒng)每天發(fā)生的各種各樣的事情，包括那些用戶曾經(jīng)或者正在使用系統(tǒng)，可以通過日志來檢查錯誤發(fā)生的原因，更重要的是在系統(tǒng)受到黑客攻擊后，日志可以記錄下攻擊者留下的痕跡，通過查看這些痕跡，系統(tǒng)管理員可以發(fā)現(xiàn)黑客攻擊的某些手段以及特點，從而能夠進行處理工作，為抵御下一次攻擊做好準備。
　　在Linux系統(tǒng)中，有三類主要的日志子系統(tǒng):

　　● 連接時間日志: 由多個程序執(zhí)行，把記錄寫入到/var/log/wtmp和/var/run/utmp，login等程序會更新wtmp和utmp文件，使系統(tǒng)管理員能夠跟蹤誰在何時登錄到系統(tǒng)。

　　● 進程統(tǒng)計: 由系統(tǒng)內(nèi)核執(zhí)行，當(dāng)一個進程終止時，為每個進程往進程統(tǒng)計文件（pacct或acct）中寫一個記錄。進程統(tǒng)計的目的是為系統(tǒng)中的基本服務(wù)提供命令使用統(tǒng)計。

　　● 錯誤日志: 由syslogd（8）守護程序執(zhí)行，各種系統(tǒng)守護進程、用戶程序和內(nèi)核通過syslogd（3）守護程序向文件/var/log/messages報告值得注意的事件。另外有許多Unix程序創(chuàng)建日志。像HTTP和FTP這樣提供網(wǎng)絡(luò)服務(wù)的服務(wù)器也保持詳細的日志。

常用的日志文件如下：

access-log 紀錄HTTP/web的傳輸  　　acct/pacct 紀錄用戶命令  　　aculog 紀錄MODEM的活動  　　btmp 紀錄失敗的紀錄  　　lastlog 紀錄最近幾次成功登錄的事件和最后一次不成功的登錄  　　messages 從syslog中記錄信息（有的鏈接到syslog文件）  　　sudolog 紀錄使用sudo發(fā)出的命令  　　sulog 紀錄使用su命令的使用  　　syslog 從syslog中記錄信息（通常鏈接到messages文件）  　　utmp 紀錄當(dāng)前登錄的每個用戶  　　wtmp 一個用戶每次登錄進入和退出時間的永久紀錄  　　xferlog 紀錄FTP會話

下面是日志級別

1.emerg
緊急 - 系統(tǒng)無法使用。
"Child cannot open lock file. Exiting"
2.alert
必須立即采取措施。
"getpwuid: couldn’t determine user name from uid"
3.crit
致命情況。
"socket: Failed to get a socket, exiting child"
4.error
錯誤情況。
"Premature end of script headers"
5.warn
警告情況。
"child process 1234 did not exit, sending another SIGHUP"
6.notice
一般重要情況。
"httpd: caught SIGBUS, attempting to dump core in ..."
7、info
普通信息。
"Server seems busy, (you may need to increase StartServers, or Min/MaxSpareServers)..."
8.debug
出錯級別信息
"Opening config file ..."
當(dāng)指定了特定級別時，任何級別高于他的信息也會同時報告。比如說，當(dāng)指定了LogLevel info時，任何 notice和warn級別的信息也會被記錄。

utmp、wtmp和lastlog日志文件是多數(shù)重用UNIX日志子系統(tǒng)的關(guān)鍵--保持用戶 登錄進入和退出的紀錄。有關(guān)當(dāng)前登錄用戶的信息記錄在文件utmp中；登錄進入和退出紀錄在文件wtmp中；最后一次登錄文件可以用lastlog命令察 看。數(shù)據(jù)交換、關(guān)機和重起也記錄在wtmp文件中。所有的紀錄都包含時間戳。這些文件（lastlog通常不大）在具有大量用戶的系統(tǒng)中增長十分迅速。例 如wtmp文件可以無限增長，除非定期截取。許多系統(tǒng)以一天或者一周為單位把wtmp配置成循環(huán)使用。它通常由cron運行的腳本來修改。這些腳本重新命 名并循環(huán)使用wtmp文件。通常，wtmp在第一天結(jié)束后命名為wtmp.1；第二天后wtmp.1變?yōu)閣tmp.2等等，直到wtmp.7。

每次有一個用戶登錄時，login程序在文件lastlog中察看用戶的UID。如果找到了， 則把用戶上次登錄、退出時間和主機名寫到標準輸出中，然后login程序在lastlog中紀錄新的登錄時間。在新的lastlog紀錄寫入后，utmp 文件打開并插入用戶的utmp紀錄。該紀錄一直用到用戶登錄退出時刪除。utmp文件被各種命令文件使用，包括who、w、users和finger。

下一步，login程序打開文件wtmp附加用戶的utmp紀錄。當(dāng)用戶登錄退出時，具有更新時間戳的同一utmp紀錄附加到文件中。wtmp文件被程序last和ac使用。

進程統(tǒng)計

linux可以跟蹤每個用戶運行的每條命令，如果想知道昨晚弄亂了哪些重要的文件，進程 統(tǒng)計子系統(tǒng)可以告訴你。它對還跟蹤一個侵入者有幫助。與連接時間日志不同，進程統(tǒng)計子系統(tǒng)缺省不激活，它必須啟動。在Linux系統(tǒng)中啟動進程統(tǒng)計使用 accton命令，必須用root身份來運行。Accton命令的形式accton file，file必須先存在。先使用touch命令來創(chuàng)建pacct文件：touch /var/log/pacct，然后運行accton： accton /var/log/pacct。一旦accton被激活，就可以使用lastcomm命令監(jiān)測系統(tǒng)中任何時候執(zhí)行的命令。若要關(guān)閉統(tǒng)計，可以使用不帶任何 參數(shù)的accton命令。

lastcomm命令報告以前執(zhí)行的文件。不帶參數(shù)時，lastcomm命令顯示當(dāng)前統(tǒng)計文件生命周期內(nèi)紀錄的所有命令的有關(guān)信息。包括命令名、用戶、tty、命令花費的CPU時間和一個時間戳。如果系統(tǒng)有許多用戶，輸入則可能很長。下面的例子就體現(xiàn)了這點：

crond F root ?? 0.00 secs Sun Aug 20 00:16  　　promisc_check.s S root ?? 0.04 secs Sun Aug 20 00:16  　　promisc_check root ?? 0.01 secs Sun Aug 20 00:16  　　grep root ?? 0.02 secs Sun Aug 20 00:16  　　tail root ?? 0.01 secs Sun Aug 20 00:16  　　sh root ?? 0.01 secs Sun Aug 20 00:15  　　ping S root ?? 0.01 secs Sun Aug 20 00:15  　　ping6.pl F root ?? 0.01 secs Sun Aug 20 00:15  　　sh root ?? 0.01 secs Sun Aug 20 00:15  　　ping S root ?? 0.02 secs Sun Aug 20 00:15  　　ping6.pl F root ?? 0.02 secs Sun Aug 20 00:15  　　sh root ?? 0.02 secs Sun Aug 20 00:15  　　ping S root ?? 0.00 secs Sun Aug 20 00:15  　　ping6.pl F root ?? 0.01 secs Sun Aug 20 00:15  　　sh root ?? 0.01 secs Sun Aug 20 00:15  　　ping S root ?? 0.01 secs Sun Aug 20 00:15  　　sh root ?? 0.02 secs Sun Aug 20 00:15  　　ping S root ?? 1.34 secs Sun Aug 20 00:15  　　locat

億恩科技地址(ADD)：鄭州市黃河路129號天一大廈608室 郵編(ZIP)：450008 傳真(FAX)：0371-60123888
   聯(lián)系：億恩小凡
   QQ：89317007
   電話:0371-63322206

服務(wù)器租用/服務(wù)器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]