資源描述:
《linux操作系統(tǒng)日志管理全攻略》由會(huì)員上傳分享�����,免費(fèi)在線閱讀����,更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)����。
1�����、Linux操作系統(tǒng)日志管理全攻略◆日志簡(jiǎn)介日志對(duì)于安全來(lái)說(shuō)��,非常重要�,他記錄了系統(tǒng)每天發(fā)生的各種各樣的事情����,你可以通過(guò)他來(lái)檢查錯(cuò)誤發(fā)生的原因,或者受到攻擊時(shí)攻擊者留下的痕跡��。日志主要的功能有:審計(jì)和監(jiān)測(cè)���。他還可以實(shí)時(shí)的監(jiān)測(cè)系統(tǒng)狀態(tài)��,監(jiān)測(cè)和追蹤侵入者等等����。在Linux系統(tǒng)中����,有三個(gè)主要的日志子系統(tǒng):連接時(shí)間日志--由多個(gè)程序執(zhí)行����,把紀(jì)錄寫(xiě)入到/var/log/wtmp和/var/run/utmp����,login等程序更新wtmp和utmp文件,使系統(tǒng)管理員能夠跟蹤誰(shuí)在何時(shí)登錄到系統(tǒng)��。進(jìn)程統(tǒng)計(jì)--由系統(tǒng)內(nèi)核執(zhí)行�。當(dāng)一個(gè)進(jìn)程終止時(shí),為每個(gè)進(jìn)程往進(jìn)程統(tǒng)計(jì)文件(pacct或acct
2���、)中寫(xiě)一個(gè)紀(jì)錄�。進(jìn)程統(tǒng)計(jì)的目的是為系統(tǒng)中的基本服務(wù)提供命令使用統(tǒng)計(jì)�����。錯(cuò)誤日志--由syslogd(8)執(zhí)行����。各種系統(tǒng)守護(hù)進(jìn)程、用戶程序和內(nèi)核通過(guò)syslog(3)向文件/var/log/messages報(bào)告值得注意的事件��。另外有許多UNIX程序創(chuàng)建日志��。像HTTP和FTP這樣提供網(wǎng)絡(luò)服務(wù)的服務(wù)器也保持詳細(xì)的日志����。常用的日志文件如下:access-log紀(jì)錄HTTP/web的傳輸acct/pacct紀(jì)錄用戶命令aculog紀(jì)錄MODEM的活動(dòng)btmp紀(jì)錄失敗的紀(jì)錄lastlog紀(jì)錄最近幾次成功登錄的事件和最后一次不成功的登錄messages從syslog中記錄信息(有的
3、鏈接到syslog文件)sudolog紀(jì)錄使用sudo發(fā)出的命令sulog紀(jì)錄使用su命令的使用syslog從syslog中記錄信息(通常鏈接到messages文件)utmp紀(jì)錄當(dāng)前登錄的每個(gè)用戶wtmp一個(gè)用戶每次登錄進(jìn)入和退出時(shí)間的永久紀(jì)錄xferlog紀(jì)錄FTP會(huì)話utmp�、wtmp和lastlog日志文件是多數(shù)重用UNIX日志子系統(tǒng)的關(guān)鍵--保持用戶登錄進(jìn)入和退出的紀(jì)錄。有關(guān)當(dāng)前登錄用戶的信息記錄在文件utmp中��;登錄進(jìn)入和退出紀(jì)錄在文件wtmp中�;最后一次登錄文件可以用lastlog命令察看。數(shù)據(jù)交換���、關(guān)機(jī)和重起也記錄在wtmp文件中���。所有的紀(jì)錄都包含時(shí)間戳
4、��。這些文件(lastlog通常不大)在具有大量用戶的系統(tǒng)中增長(zhǎng)十分迅速��。例如wtmp文件可以無(wú)限增長(zhǎng)�,除非定期截取。許多系統(tǒng)以一天或者一周為單位把wtmp配置成循環(huán)使用���。它通常由cron運(yùn)行的腳本來(lái)修改�。這些腳本重新命名并循環(huán)使用wtmp文件。通常���,wtmp在第一天結(jié)束后命名為wtmp.1���;第二天后wtmp.1變?yōu)閣tmp.2等等,直到wtmp.7��。每次有一個(gè)用戶登錄時(shí)����,login程序在文件lastlog中察看用戶的UID。如果找到了����,則把用戶上次登錄、退出時(shí)間和主機(jī)名寫(xiě)到標(biāo)準(zhǔn)輸出中��,然后login程序在lastlog中紀(jì)錄新的登錄時(shí)間����。在新的lastlog紀(jì)錄寫(xiě)入后
5、�,utmp文件打開(kāi)并插入用戶的utmp紀(jì)錄�。該紀(jì)錄一直用到用戶登錄退出時(shí)刪除�����。utmp文件被各種命令文件使用�����,包括who�����、w���、users和finger。下一步�,login程序打開(kāi)文件wtmp附加用戶的utmp紀(jì)錄。當(dāng)用戶登錄退出時(shí)���,具有更新時(shí)間戳的同一utmp紀(jì)錄附加到文件中�����。wtmp文件被程序last和ac使用�����?!艟唧w命令wtmp和utmp文件都是二進(jìn)制文件,他們不能被諸如tail命令剪貼或合并(使用cat命令)�。用戶需要使用who、w���、users�、last和ac來(lái)使用這兩個(gè)文件包含的信息��。who:who命令查詢utmp文件并報(bào)告當(dāng)前登錄的每個(gè)用戶�。Who的缺省輸出
6、包括用戶名��、終端類(lèi)型����、登錄日期及遠(yuǎn)程主機(jī)。例如:who(回車(chē))顯示chyangpts/0Aug1815:06ynguopts/2Aug1815:32ynguopts/3Aug1813:55lewispts/4Aug1813:35ynguopts/7Aug1814:12yloupts/8Aug1814:15如果指明了wtmp文件名�,則who命令查詢所有以前的紀(jì)錄。命令who/var/log/wtmp將報(bào)告自從wtmp文件創(chuàng)建或刪改以來(lái)的每一次登錄����。w:w命令查詢utmp文件并顯示當(dāng)前系統(tǒng)中每個(gè)用戶和它所運(yùn)行的進(jìn)程信息��。例如:w(回車(chē))顯示:3:36pmup1day,22
7�����、:34,6users,loadaverage:0.23,0.29,0.27��。USERTTYFROMLOGIN@IDLEJCPUPCPUWHATchyangpts/0202.38.68.2423:06pm2:040.08s0.04s-bashynguopts/2202.38.79.473:32pm0.00s0.14s0.05wlewispts/3202.38.64.2331:55pm30:390.27s0.22s-bashlewispts/4202.38.64.2331:35pm6.00s4.03s0.01ssh/home/users/ynguopts
