基礎知識 - Liunx系統的LOG日志文件

Liunx系統的LOG日志文件
2004-04-23 15:18 pm
來自：Linux文檔
現載：Www.8s8s.coM
地址：無名

網管主要靠系統的LOG，即我們時常所說的日志文件， 來獲得侵入的痕跡及你進來的IP，
或其他信息。當然也有些網管使用第三方工具來記錄侵入他電腦的痕跡，這裡主要要講的是一
般UNIX系統裡記錄你蹤跡的文件。
那到底這些LOG日志文件放在哪裡呢？這主要依靠的是你所進入的UNIX系統系統， 各個系
統有些不同的LOG文件，但大多數都應該有差不多的位置，最普通的位置如下：
/usr/adm - 早期版本的UNIX
/var/adm - 新一點的版本使用這個位置
/var/log - 一些版本的Solaris,linux BSD,Free BSD使用這個位置
/etc - 多數UNIX版本把utmp放在這裡，有些也把wtmp放在這裡，syslog.conf在這裡

下面的一些文件根據你所在的目錄不同而不同：
acct 或 pacct -- 記錄每個用戶使用的命令記錄
access_log -- 主要當服務器運行NCSA HTTPD時, 記錄什麼站點連接過你的服務器
aculog -- 保存著你撥出去的MODEMS記錄
lastlog -- 記錄了用戶最近的LOGIN記錄和每個用戶的最初目的地，有時是最後不
成功LOGIN的記錄
loginlog -- 記錄一些不正常的LOGIN記錄
messages -- 記錄輸出到系統控制台的記錄，另外的信息由syslog來生成
security -- 記錄一些使用UUCP系統企圖進入限制范圍的事例
sulog -- 記錄使用su命令的記錄
utmp -- 記錄當前登錄到系統中的所有用戶， 這個文件伴隨著用戶進入和離開
系統而不斷變化.
utmpx -- UTMP的擴展
wtmp -- 記錄用戶登錄和退出事件
syslog -- 最重要的日志文件，使用syslogd守護程序來獲得日志信息：
/dev/log -- 一個UNIX域套接字，接受在本地機器上運行的進程所產生的消息
/dev/klog -- 一個從UNIX內核接受消息的設備
514端口 -- 一個INTERNET套接字，接受其他機器通過UDP產生的syslog消息。
uucp -- 記錄的UUCP的信息，可以被本地UUCP活動更新， 也可有遠程站點發起
的動作修改，信息包括發出和接受的呼叫，發出的請求，發送者， 發
送時間和發送主機
lpd-errs -- 處理打印機故障信息的日志
ftp日志 -- 執行帶-l選項的ftpd能夠獲得記錄功能
httpd日志 -- HTTPD服務器在日志中記錄每一個WEB訪問記錄
history日志 -- 這個文件保存了用戶最近輸入命令的記錄
vold.log -- 記錄使用外接媒介時遇到的錯誤記錄

======================
其他類型的日志文件-
======================
有些類型的LOG文件沒有特定的標題，但開始於一個特定的標志， 你可以在前面頭發現如
下的標志，這就一般表示此是個LOG日志文件，你就可以編輯它了：
xfer -- 表明試圖一個禁止的文件傳輸.
rexe -- 表明試圖執行一個不允許的命令
還有許多其他其他類型的LOG文件存在，主要是第三方軟件引起的， 或者甚至他媽的網管
自己有設置了一只"眼睛"在他的系統上，所以你要對你認為可能是LOG文件的文件多一份心眼。
許多管理員喜歡把日志文件放在同一個目錄中以便管理， 所以你要檢查你發現的LOG文件所在
的目錄中，是否有其他日志文件放在這裡，如果有,咯，你知道怎麼做。
另一個你要注意的是有關LOG用戶MAIL的文件，此文件名可以多種多樣，或則有時是
syslog文件的一部分。你要知道syslog記錄那些信息， 你可以查看syslog.conf中的信息此文
件的目錄是在/etc中

======================
Windows NT的審計跟蹤
======================
幾乎WINDOWS NT系統中的每一項事務都可以在一定程度上被審計，在WINDOWS NT中可以在
兩個地方打開審計-EXPLORER 和USER MANAGER，在EXPLORER中，選擇Securtiy，再選擇
Auditing以幾乎Directory Auditing對話框，系統管理員可以在這個窗口選擇跟蹤有效的和無
效的文件訪問，在USER MANAGER中，系統管理員可以根據各種用戶事件的成功和失敗選擇審計
策略，如登錄和退出，文件訪問，權限非法和關閉系統等。
WINDOWS NT是使用一種特殊的格式存放它的日志文件，這種格式的文件可以被事件查看器
EVENT VIEWER讀取。事件查看器可以在ADMINISTRATIVE TOOL程序組中找到。 系統管理員可以
使用事件查看器的Filter選項根據一定條件選擇要查看的日志條目，查看條件包括類別，用戶
和消息類型。
WINDOWS NT 在三個分開的日志文件存放審計信息：
Application Log - 文件包括用NT SECURITY AUTHORITY注冊的應用程序產生的信息。
Security Log - 包括有關通過NT可識別安全提供者和客戶的系統訪問信息。
System Log - 包含所有系統相關事件的信息。
WINDOWS NT FTP連接的日志：
WINDOWS NT可以記錄入境的FTP連接，在注冊表中進行了修改後， 你可以是否記錄由匿名
的，正常用戶或者兩種用戶建立的連接，可以在事件查看器中查看這些日志條目。
WINDOWS NT的HTTPD事務
系統管理員可以使用NT的HTTPD服務在日志中記錄對特定文件的訪問企圖。 可以在控制面
板的HTTPD配置工具中選擇一個激活日志功能特性。