Liunx系統的LOG日志文件

　　網管主要靠系統的LOG，即我們時常所說的日志文件， 來獲得侵入的痕跡及你進來的IP， 或其他信息。當然也有些網管使用第三方工具來記錄侵入他電腦的痕跡，這裡主要要講的是一 般UNIX系統裡記錄你蹤跡的文件。 那到底這些LOG日志文件放在哪裡呢？這主要依靠的是你所進入的UNIX系統系統， 各個系 統有些不同的LOG文件，但大多數都應該有差不多的位置，最普通的位置如下： /usr/adm - 早期版本的UNIX /var/adm - 新一點的版本使用這個位置 /var/log - 一些版本的Solaris,Linux BSD,Free BSD使用這個位置 /etc - 多數UNIX版本把utmp放在這裡，有些也把wtmp放在這裡，syslog.conf在這裡 下面的一些文件根據你所在的目錄不同而不同： acct 或 pacct -- 記錄每個用戶使用的命令記錄 Access_log -- 主要當服務器運行NCSA HTTPD時, 記錄什麼站點連接過你的服務器 aculog -- 保存著你撥出去的MODEMS記錄 lastlog -- 記錄了用戶最近的LOGIN記錄和每個用戶的最初目的地，有時是最後不 成功LOGIN的記錄 loginlog -- 記錄一些不正常的LOGIN記錄 messages -- 記錄輸出到系統控制台的記錄，另外的信息由syslog來生成 security -- 記錄一些使用UUCP系統企圖進入限制范圍的事例 sulog -- 記錄使用su命令的記錄 utmp -- 記錄當前登錄到系統中的所有用戶， 這個文件伴隨著用戶進入和離開 系統而不斷變化. utmpx -- UTMP的擴展 wtmp -- 記錄用戶登錄和退出事件 syslog -- 最重要的日志文件，使用syslogd守護程序來獲得日志信息： /dev/log -- 一個UNIX域套接字，接受在本地機器上運行的進程所產生的消息 /dev/klog -- 一個從UNIX內核接受消息的設備 514端口 -- 一個INTERNET套接字，接受其他機器通過UDP產生的syslog消息。 uucp -- 記錄的UUCP的信息，可以被本地UUCP活動更新， 也可有遠程站點發起 的動作修改，信息包括發出和接受的呼叫，發出的請求，發送者， 發 送時間和發送主機 lpd-errs -- 處理打印機故障信息的日志 FTP日志 -- 執行帶-l選項的ftpd能夠獲得記錄功能 httpd日志 -- HTTPD服務器在日志中記錄每一個WEB訪問記錄 history日志 -- 這個文件保存了用戶最近輸入命令的記錄 vold.log -- 記錄使用外接媒介時遇到的錯誤記錄 ====================== 其他類型的日志文件- ====================== 有些類型的LOG文件沒有特定的標題，但開始於一個特定的標志， 你可以在前面頭發現如 下的標志，這就一般表示此是個LOG日志文件，你就可以編輯它了： xfer -- 表明試圖一個禁止的文件傳輸. rexe -- 表明試圖執行一個不允許的命令 還有許多其他其他類型的LOG文件存在，主要是第三方軟件引起的， 或者甚至他媽的網管 自己有設置了一只"眼睛"在他的系統上，所以你要對你認為可能是LOG文件的文件多一份心眼。 許多管理員喜歡把日志文件放在同一個目錄中以便管理， 所以你要檢查你發現的LOG文件所在 的目錄中，是否有其他日志文件放在這裡，如果有,咯，你知道怎麼做。 另一個你要注意的是有關LOG用戶MAIL的文件，此文件名可以多種多樣，或則有時是 syslog文件的一部分。你要知道syslog記錄那些信息， 你可以查看syslog.conf中的信息此文 件的目錄是在/etc中 ====================== Windows NT的審計跟蹤 ====================== 幾乎WINDOWS NT系統中的每一項事務都可以在一定程度上被審計，在WINDOWS NT中可以在


兩個地方打開審計-EXPLORER 和USER MANAGER，在EXPLORER中，選擇Securtiy，再選擇 Auditing以幾乎Directory Auditing對話框，系統管理員可以在這個窗口選擇跟蹤有效的和無 效的文件訪問，在USER MANAGER中，系統管理員可以根據各種用戶事件的成功和失敗選擇審計 策略，如登錄和退出，文件訪問，權限非法和關閉系統等。 WINDOWS NT是使用一種特殊的格式存放它的日志文件，這種格式的文件可以被事件查看器 EVENT VIEWER讀取。事件查看器可以在ADMINISTRATIVE TOOL程序組中找到。 系統管理員可以 使用事件查看器的Filter選項根據一定條件選擇要查看的日志條目，查看條件包括類別，用戶 和消息類型。 WINDOWS NT 在三個分開的日志文件存放審計信息： Application Log - 文件包括用NT SECURITY AUTHORITY注冊的應用程序產生的信息。 Security Log - 包括有關通過NT可識別安全提供者和客戶的系統訪問信息。 System Log - 包含所有系統相關事件的信息。 WINDOWS NT FTP連接的日志： WINDOWS NT可以記錄入境的FTP連接，在注冊表中進行了修改後， 你可以是否記錄由匿名 的，正常用戶或者兩種用戶建立的連接，可以在事件查看器中查看這些日志條目。 WINDOWS NT的HTTPD事務 系統管理員可以使用NT的HTTPD服務在日志中記錄對特定文件的訪問企圖。 可以在控制面 板的HTTPD配置工具中選擇一個激活日志功能特性。