Linux常見的日志文件詳述如下
1、/var/log/boot.log(自檢過程)
2、/var/log/cron (crontab守護進程crond所派生的子進程的動作)
3、/var/log/maillog (發送到系統或從系統發出的電子郵件的活動)
4、/var/log/syslog (它只記錄警告信息,常常是系統出問題的信息,所以更應該關注該文件)
5、/usr/local/apache/logs/error_log(它是記錄apache的日志目錄)
6、/var/log/httpd/error_log(它是記錄http的日志目錄)
要讓系統生成syslog日志文件,
在/etc/rsyslog.conf文件中加上:*.warning /var/log/syslog
該日志文件能記錄當用戶登錄時login記錄下的錯誤口令、Sendmail的問題、su命令執行失敗等信息
5、/var/run/utmp
該日志文件需要使用lastlog命令查看
6、/var/log/wtmp
(該日志文件永久記錄每個用戶登錄、注銷及系統的啟動、停機的事件)
last命令就通過訪問這個文件獲得這些信息
7、/var/run/utmp
(該日志文件記錄有關當前登錄的每個用戶的信息)
8、/var/log/xferlog
(該日志文件記錄FTP會話,可以顯示出用戶向FTP服務器或從服務器拷貝了什麼文件)
Linux日志分析詳細部分
日志也是用戶應該注意的地方之一。不要低估日志文件對網絡安全的重要作用,因為日志文件能夠詳細記錄系統每天發生的各種各樣的事件。用戶可以通過日志文件檢查錯誤產生的原因,或者在受到攻擊和黑客入侵時追蹤攻擊者的蹤跡。日志的兩個比較重要的作用是:審核和監測。配置好的Linux的日志非常強大。對於Linux系統而言,所有的日志文件都在/var/log下。默認情況下,Linux的日志文件已經足夠強大,但沒有記錄FTP的活動。用戶可以通過修改/etc/ftpacess讓系統記錄FTP的一切活動。
Linux日志系統簡介
Linux日志系統
日志對於系統的安全來說非常重要,它記錄了系統每天發生的各種各樣的事情,用戶可以通過它來檢查錯誤發生的原因,或者尋找受到攻擊時攻擊者留下的痕跡。日志主要的功能是審計和監測。它還可以實時地監測系統狀態,監測和追蹤侵入者。
Linux系統一般有3個主要的日志子系統:連接時間日志、進程統計日志和錯誤日志。
連接時間日志
連接時間日志由多個程序執行,把記錄寫入到/var/og/wtmp和/var/run/utmp。ogin等程序更新wtmp和utmp文件,使系統管理員能夠跟蹤誰在何時登錄到系統。
進程統計日志
進程統計日志由系統內核執行。當一個進程終止時,為每個進程往進程統計文件(pacct或acct)中寫一個記錄。進程統計的目的是為系統中的基本服務提供命令使用統計。
錯誤日志
錯誤日志由sysogd(8)執行。各種系統守護進程、用戶程序和內核通過sysog(3)向文件/var/og/messages報告值得注意的事件。另外還有許多UNIX類程序創建日志,像HTTP和FTP這樣提供網絡服務的服務器也有詳細的日志。
RedHat Linux常見的日志文件和常用命令
成功地管理任何系統的關鍵之一,是要知道系統中正在發生什麼事。Linux 中提供了異常日志,並且日志的細節是可配置的。Linux 日志都以明文形式存儲,所以用戶不需要特殊的工具就可以搜索和閱讀它們。還可以編寫腳本,來掃描這些日志,並基於它們的內容去自動執行某些功能。Linux 日志存儲在 /var/log 目錄中。這裡有幾個由系統維護的日志文件,但其他服務和程序也可能會把它們的日志放在這裡。大多數日志只有root賬戶才可以讀,不過修改文件的訪問權限就可以讓其他人可讀。
RedHat Linux常用的日志文件
RedHat Linux常見的日志文件詳述如下
/var/log/boot.log
該文件記錄了系統在引導過程中發生的事件,就是Linux系統開機自檢過程顯示的信息。
/var/log/cron
該日志文件記錄crontab守護進程crond所派生的子進程的動作,前面加上用戶、登錄時間和PID,以及派生出的進程的動作。CMD的一個動作是cron派生出一個調度進程的常見情況。REPLACE(替換)動作記錄用戶對它的cron文件的更新,該文件列出了要周期性執行的任務調度。RELOAD動作在REPLACE動作後不久發生,這意味著cron注意到一個用戶的cron文件被更新而cron需要把它重新裝入內存。該文件可能會查到一些反常的情況。
/var/log/maillog
該日志文件記錄了每一個發送到系統或從系統發出的電子郵件的活動。它可以用來查看用戶使用哪個系統發送工具或把數據發送到哪個系統。下面是該日志文件的片段:
Sep 4 17:23:52 UNIX sendmail[1950]: g849Npp01950: from=root, size=25,, nrcpts=1, msgid=<[email protected]>,relay=root@localhostSep 該日志文件是許多進程日志文件的匯總,從該文件可以看出任何入侵企圖或成功的入侵。如以下幾行:
Sep 3 08:30:17 UNIX login[1275]: FAILED LOGIN 2 FROM (null) FOR suying, Authentication failureSep 4 17:40:28 UNIX — suying[2017]: LOGIN ON pts/1 BY suying FROMfcceec.www.ec8.pfcc.com.cnSep4 17:40:39 UNIX su(pam_unix)[2048]: session opened for user root by suying(uid=999)
該文件的格式是每一行包含日期、主機名、程序名,後面是包含PID或內核標識的方括號、一個冒號和一個空格,最後是消息。該文件有一個不足,就是被記錄的入侵企圖和成功的入侵事件,被淹沒在大量的正常進程的記錄中。但該文件可以由/etc/syslog文件進行定制。由/etc/syslog.conf配置文件決定系統如何寫入/var/messages。有關如何配置/etc/syslog.conf文件決定系統日志記錄的行為,將在後面詳細敘述。
/var/log/syslog
默認RedHat Linux不生成該日志文件,但可以配置/etc/syslog.conf讓系統生成該日志文件。它和/etc/log/messages日志文件不同,它只記錄警告信息,常常是系統出問題的信息,所以更應該關注該文件。要讓系統生成該日志文件,在/etc/syslog.conf文件中加上:*.warning /var/log/syslog 該日志文件能記錄當用戶登錄時login記錄下的錯誤口令、Sendmail的問題、su命令執行失敗等信息。下面是一條記錄:
Sep 6 16:47:52 UNIX login(pam_unix)[2384]: check pass; user unknown/var/log/secure該日志文件記錄與安全相關的信息。該日志文件的部分內容如下:Sep 4 16:05:09 UNIX xinetd[711]: START: ftp pid=1815 from=127.0.0.1Sep 4 16:05:09 UNIX xinetd[1815]: USERID: ftp OTHER :rootSep 4 16:07:24 UNIX xinetd[711]: EXIT: ftp pid=1815 duration=135(sec)Sep 4 16:10:05 UNIX xinetd[711]: START: ftp pid=1846 from=127.0.0.1Sep 4 16:10:05 UNIX xinetd[1846]: USERID: ftp OTHER :rootSep 4 16:16:26 UNIX xinetd[711]: EXIT: ftp pid=1846 duration=381(sec)Sep 4 17:40:20 UNIX xinetd[711]: START: telnet pid=2016 from=10.152.8.2/var/log/lastlog
該日志文件記錄最近成功登錄的事件和最後一次不成功的登錄事件,由login生成。在每次用戶登錄時被查詢,該文件是二進制文件,需要使用lastlog命令查看,根據UID排序顯示登錄名、端口號和上次登錄時間。如果某用戶從來沒有登錄過,就顯示為”**Never logged in**”。該命令只能以root權限執行。簡單地輸入lastlog命令後就會看到類似如下的信息:
Username Port From Latestroot tty2 Tue Sep 3 08:32:27 +0800 2002bin **Never logged in**daemon **Never logged in**adm **Never logged in**lp **Never logged in**sync **Never logged in**shutdown **Never logged in**halt **Never logged in**mail **Never logged in**news **Never logged in**uucp **Never logged in**operator **Never logged in**games **Never logged in**gopher **Never logged in**ftp ftp UNIX Tue Sep 3 14:49:04 +0800 2002nobody **Never logged in**nscd **Never logged in**mailnull **Never logged in**ident **Never logged in**rpc **Never logged in**rpcuser **Never logged in**xfs **Never logged in**gdm **Never logged in**postgres **Never logged in**apache **Never logged in**lzy tty2 Mon Jul 15 08:50:37 +0800 2002suying tty2 Tue Sep 3 08:31:17 +0800 2002
系統賬戶諸如bin、daemon、adm、uucp、mail等決不應該登錄,如果發現這些賬戶已經登錄,就說明系統可能已經被入侵了。若發現記錄的時間不是用戶上次登錄的時間,則說明該用戶的賬戶已經洩密了。
/var/log/wtmp
該日志文件永久記錄每個用戶登錄、注銷及系統的啟動、停機的事件。因此隨著系統正常運行時間的增加,該文件的大小也會越來越大,增加的速度取決於系統用戶登錄的次數。該日志文件可以用來查看用戶的登錄記錄,last命令就通過訪問這個文件獲得這些信息,並以反序從後向前顯示用戶的登錄記錄,last也能根據用戶、終端 tty或時間顯示相應的記錄。
命令last有兩個可選參數:
last -u 用戶名 顯示用戶上次登錄的情況。
last -t 天數 顯示指定天數之前的用戶登錄情況。
/var/run/utmp
該日志文件記錄有關當前登錄的每個用戶的信息。因此這個文件會隨著用戶登錄和注銷系統而不斷變化,它只保留當時聯機的用戶記錄,不會為用戶保留永久的記錄。系統中需要查詢當前用戶狀態的程序,如 who、w、users、finger等就需要訪問這個文件。該日志文件並不能包括所有精確的信息,因為某些突發錯誤會終止用戶登錄會話,而系統沒有及時更新 utmp記錄,因此該日志文件的記錄不是百分之百值得信賴的。
以上提及的3個文件(/var/log/wtmp、/var/run/utmp、/var/log/lastlog)是日志子系統的關鍵文件,都記錄了用戶登錄的情況。這些文件的所有記錄都包含了時間戳。這些文件是按二進制保存的,故不能用less、cat之類的命令直接查看這些文件,而是需要使用相關命令通過這些文件而查看。其中,utmp和wtmp文件的數據結構是一樣的,而lastlog文件則使用另外的數據結構,關於它們的具體的數據結構可以使用man命令查詢。
每次有一個用戶登錄時,login程序在文件lastlog中查看用戶的UID。如果存在,則把用戶上次登錄、注銷時間和主機名寫到標准輸出中,然後login程序在lastlog中記錄新的登錄時間,打開utmp文件並插入用戶的utmp記錄。該記錄一直用到用戶登錄退出時刪除。utmp文件被各種命令使用,包括who、w、users和finger。
下一步,login程序打開文件wtmp附加用戶的utmp記錄。當用戶登錄退出時,具有更新時間戳的同一utmp記錄附加到文件中。wtmp文件被程序last使用。
/var/log/xferlog
該日志文件記錄FTP會話,可以顯示出用戶向FTP服務器或從服務器拷貝了什麼文件。該文件會顯示用戶拷貝到服務器上的用來入侵服務器的惡意程序,以及該用戶拷貝了哪些文件供他使用。
該文件的格式為:第一個域是日期和時間,第二個域是下載文件所花費的秒數、遠程系統名稱、文件大小、本地路徑名、傳輸類型(a:ASCII,b:二進制)、與壓縮相關的標志或tar,或”_”(如果沒有壓縮的話)、傳輸方向(相對於服務器而言:i代表進,o代表出)、訪問模式(a:匿名,g:輸入口令,r:真實用戶)、用戶名、服務名(通常是ftp)、認證方法(l:RFC931,或0),認證用戶的ID或”*”。下面是該文件的一條記錄:
Wed Sep 4 08:14:03 2002 1 UNIX 275531 /var/ftp/lib/libnss_files-2.2.2.so b _ o a -root@UNIX ftp 0 * c/var/log/kernlog 4 17:23:55 UNIX sendmail[1950]: g849Npp01950: [email protected], ctladdr=root (0/0), delay=00:00:04, xdelay=00:00:03, mailer=esmtp, pri=30025, relay=fcceec.net. [10.152.8.2], dsn=2.0.0, stat=Sent (Message queued)/var/log/messages
http://www.bkjia.com/Linuxjc/1191976.html TechArticle
