日志主要的功能是实时地监测系统状态,监测和追踪侵入者等。Linux系统有3个主要的日志子系统:连接时间日志、进程统计日志和错误日志。
连接时间日志记录在/var/log/wtmp和/var/run/utmp中,用于跟踪谁在何时登录到系统。
进程统计日志(pacct或acct)给系统中的基本服务提供命令使用统计。
错误日志由syslogd后台进程记录,各种系统守护进程、用户程序通过调用函数syslog向文件/var/og/messages记录值得注意的事件。
另外,应用程序还可以创建日志,如:HTTP和FTP等服务器常用单独的日志文件保持详细的日志信息。审计系统常将安全审计信息保存在/var/log/audit.d目录下的audit.log文件中。
常用的日志文件说明如下:
boot.log 记录系统在引导过程中发生的事件。
cron 记录crontab守护进程crond所派生的子进程的动作。
maillog 记录电子邮件的活动。
acct/pacct 记录用户命令。
lastlog 记录最近几次成功登录的事件和最后一次不成功的登录。
messages 从syslog中记录信息(有的链接到syslog文件)。
sulog 记录su命令的使用。
syslog 从syslog中记录信息(通常链接到messages文件);
utmp 记录当前登录用户的信息。
wtmp 一个用户每次登录进入和退出时间的永久记录。另外,wtmp和utmp文件都是二进制文件,需要使用who、w、users、last和ac命令查看它们包含的信息。
进程统计记录进程的活动。进程统计默认时是关闭的,使用下面的命令设置打开进程统计:
# accton /var/log/pact
关闭进程统计的命令列出如下:
# accton
可用lastcomm命令报告以前的执行文件在/var/log/pacct记录的内容。
gfhlole 于 2008-03-06 21:37:41发表:
Linux日志系统
日志是Linux安全体系的一个重要组成部分,日志信息提供了攻击发生的真实证据。由于攻击方式多种多样,一旦攻击攻破系统,系统通过日志文件应留下攻击信息。Linux提供了网络、主机和用户级的日志信息。日志可记录如下内容:
-- 记录系统和内核的运行信息;
-- 记录每一次网络连接和它们的源IP地址、长度,有时还包括攻击者的用户名和使用的操作系统;
-- 记录远程用户申请访问哪些文件;
-- 记录用户可以控制哪些进程;
-- 记录具体用户使用的每条命令。