日志對於系統的安全來說非常重要,它記錄了系統每天發生的各種各樣的事情,用戶可以通過它來檢查錯誤發生的原因,或者尋找受攻擊時攻擊者留下的痕跡。日志的主要功能就是審計和檢測。它還可以實時地檢測系統的狀態、檢測和追蹤侵入者。
通常日志根據類型可以分為連接時間日志、進程統計日志和錯誤日志。連接時間日志由多個程序執行,它把記錄寫到/var/log/wtmp和/var/run/utmp當中,而login程序負責更新wtmp和utmp文件,使得系統管理員能夠夠跟蹤誰在何時登錄了系統。對於進程統計日志由內核執行,當一個進程終止時,每個進程都會向統計文件pacct或者acct中寫入一個記錄。進程統計的目的是為了系統中的基本服務提供命令使用統計。對於錯誤日志,它由syslog來執行,各種系統守護進程、用戶程序和內核通過syslog向文件/var/log/messages報告值得注意的時間。
其中/var/log/boot.log記錄了系統在引導的過程中發生的事件,就是Linux系統開機自檢過程顯示的信息。
而/var/log/cron記錄了crontab守護進程crond所派生的子進程的動作,前面加上用戶、登錄時間和pid,以及派生出來的進程的動作。
其中/var/log/maillog記錄了每一個發送到系統或者從系統發出的電子郵件的活動,它可以用來查看用戶使用哪個系統發送工具或者把數據發送到哪個系統。
其中/var/log/syslog默認是不生成的,我們可以配置/etc/syslog.conf中加上"*.warning /var/log/syslog"那麼該日志是記錄當時用戶登錄時login記錄下的錯誤口令、sendmail的問題、su執行失敗等信息。
其中/var/log/wtmp是永久記錄登錄每個用戶登錄、注銷以及系統的啟動、停機的事件。因此隨著系統正常運行時間的增加,該文件也會越來越大,增加的速度取決於用戶登錄的次數。該日志文件可以用來查看用戶的登錄記錄、last命令就通過訪問這個文件來獲取這些信息,並且用反序的方式從後向前顯示用戶的登錄記錄,last也能夠夠根據用戶、終端tty或者時間顯示相應的記錄。
其中/var/run/utmp記錄有關當前登錄的每個用戶的信息,因此這個文件隨著用戶登錄和注銷系統而不斷變化,它只保留當前聯機的用戶記錄,不會為用戶保留永久的記錄。系統中我們可以使用who、w、users、finger等訪問這個文件。該日志並不能包含所有精確的信息,因為某些突發錯誤會終止用戶登錄會話,而系統沒有及時更新utmp記錄,因此該日志的記錄不是百分百值得信賴的。
