Linux 常見的日誌檔案詳述如下
/var/log/boot.log(自檢過程)
/var/log/syslog(它只記錄警告資訊,常常是系統出問題的資訊,所以更應該關注該檔案)
要讓系統生成 syslog 日誌檔案,
在/etc/syslog.conf 檔案中加上:*.warning /var/log/syslog
該日誌檔案能記錄當使用者登入時 login 記錄下的錯誤口令、 Sendmail 的問題、 su 命令執行失敗等資訊
/var/log/message 系統啟動後的資訊和錯誤日誌,是 Red Hat
/var/log/secure 與安全相關的日誌資訊
/var/log/cron(crontab 守護程式 crond 所派生的子程式的動作)
/var/log/maillog(傳送到系統或從系統發出的電子郵件的活動)
/var/log/xferlog(該日誌檔案記錄 FTP 會話,可以顯示出使用者向 FTP 站群伺服器或從站群伺服器複製了什麼檔案)
/usr/local/apache/logs/error_log(它是記錄 apache 的日誌目錄)
/var/log/httpd/error_log(它是記錄 http 的日誌目錄)
/var/run/utmp 該日誌檔案需要使用 lastlog 命令檢視(該日誌檔案記錄有關當前登入的每個使用者的資訊)
/var/log/wtmp(該日誌檔案永久記錄每個使用者登入、登出及系統的啟動、停機的事件)last 命令就透過訪問這個檔案獲得這些資訊
/var/log/lastlog lastlog 可以檢視
Linux 日誌分析詳細部分
日誌對於系統的安全來說非常重要,它記錄了系統每天發生的各種各樣的事情,使用者可以透過它來檢查錯誤發生的原因,或者尋找受到攻擊時攻擊者留下的痕跡。日誌主要的功能是審計和監測。它還可以實時地監測系統狀態,監測和追蹤侵入者。
Linux 系統而言,所有的日誌檔案都在/var/log 下。預設情況下,Linux 的日誌檔案已經足夠強大,但沒有記錄 FTP 的活動。使用者可以透過修改
/etc/ftpacess 讓系統記錄 FTP 的一切活動。
Linux 系統一般有 3 個主要的日誌子系統:連線時間日誌、程式統計日誌和錯誤日誌。
連線時間日誌
連線時間日誌由多個程式執行,把記錄寫入到/var/og/wtmp 和/var/run/utmp 。 login 等程式更新 wtmp 和 utmp 檔案,使系統管理員能夠跟蹤誰在何時登入到系統。
程式統計日誌
程式統計日誌由系統核心執行。當一個程式終止時,為每個程式往程式統計檔案(pacct 或 acct)中寫一個記錄。程式統計的目的是為系統中的基本服務提供命令使用統計。
錯誤日誌
錯誤日誌由 sysogd(8) 執行。各種系統守護程式、使用者程式和核心透過 sysog(3) 向檔案/var/log/messages 報告值得注意的事件。另外還有許多 UNIX 類程式建立日誌,像 HTTP 和 FTP 這樣提供網際網路服務的站群伺服器也有詳細的日誌。
RedHat Linux 常見的日誌檔案和常用命令
成功地管理任何系統的關鍵之一,是要知道系統中正在發生什麼事。 Linux 中提供了異常日誌,並且日誌的細節是可配置的。 Linux 日誌都以明文形式儲存,所以使用者不需要特殊的工具就可以搜尋和閱讀它們。還可以編寫指令碼,來掃描這些日誌,並基於它們的內容去自動執行某些功能。
Linux 日誌儲存在 /var/log
目錄中。這裡有幾個由系統維護的日誌檔案,但其他服務和程式也可能會把它們的日誌放在這裡。大多數日誌只有 root 賬戶才可以讀,不過修改檔案的訪問許可權就可以讓其他人可讀。
RedHat Linux 常用的日誌檔案
RedHat Linux 常見的日誌檔案詳述如下
/var/log/boot.log
該檔案記錄了系統在引導過程中發生的事件,就是 Linux 系統開機自檢過程顯示的資訊。
/var/log/cron
該日誌檔案記錄 crontab 守護程式 crond 所派生的子程式的動作,前面加上使用者、登入時間和 PID,以及派生出的程式的動作。 CMD 的一個動作是 cron 派生出一個排程程式的常見情況。 REPLACE(替換)動作記錄使用者對它的 cron 檔案的更新,該檔案列出了要週期性執行的任務排程。
RELOAD 動作在 REPLACE 動作後不久發生,這意味著 cron 注意到一個使用者的 cron 檔案被更新而 cron 需要把它重新裝入記憶體。該檔案可能會查到一些反常的情況。
/var/log/maillog
該日誌檔案記錄了每一個傳送到系統或從系統發出的電子郵件的活動。它可以用來檢視使用者使用哪個系統傳送工具或把資料傳送到哪個系統。
/var/log/messages
該日誌檔案是許多程式日誌檔案的彙總,從該檔案可以看出任何入侵企圖或成功的入侵。
該檔案的格式是每一行包含日期、 WordPress 主機名、程式名,後面是包含 PID 或核心標識的方括號、一個冒號和一個空格,最後是訊息。該檔案有一個不足,就是被記錄的入侵企圖和成功的入侵事件,被淹沒在大量的正常程式的記錄中。但該檔案可以由/etc/syslog 檔案進行定製。由/etc/syslog.conf 配置檔案決定系統如何寫入/var/log/messages 。
/var/log/lastlog
該日誌檔案記錄最近成功登入的事件和最後一次不成功的登入事件,由 login 生成。在每次使用者登入時被查詢,該檔案是二進位制檔案,需要使用
lastlog 命令檢視,根據 UID 排序顯示登入名、埠號和上次登入時間。如果某使用者從來沒有登入過,就顯示為”**Never logged
in**” 。該命令只能以 root 許可權執行。簡單地輸入 lastlog 命令後就會看到
系統賬戶諸如 bin 、 daemon 、 adm 、 uucp 、 mail 等決不應該登入,如果發現這些賬戶已經登入,就說明系統可能已經被入侵了。若發現記錄的時間不是使用者上次登入的時間,則說明該使用者的賬戶已經洩密了。
/var/log/wtmp
該日誌檔案永久記錄每個使用者登入、登出及系統的啟動、停機的事件。因此隨著系統正常執行時間的增加,該檔案的大小也會越來越大,增加的速度取決於系統使用者登入的次數。該日誌檔案可以用來檢視使用者的登入記錄,last 命令就透過訪問這個檔案獲得這些資訊,並以反序從後向前顯示使用者的登入記錄,last 也能根據使用者、終端 tty 或時間顯示相應的記錄。
命令 last 有兩個可選引數:
last -u 使用者名稱 顯示使用者上次登入的情況。
last -t 天數 顯示指定天數之前的使用者登入情況。
/var/run/utmp
該日誌檔案記錄有關當前登入的每個使用者的資訊。因此這個檔案會隨著使用者登入和登出系統而不斷變化,它只保留當時聯機的使用者記錄,不會為使用者保留永久的記錄。系統中需要查詢當前使用者狀態的程式,如 who 、 w 、 users 、 finger 等就需要訪問這個檔案。該日誌檔案並不能包括所有精確的資訊,因為某些突發錯誤會終止使用者登入會話,而系統沒有及時更新 utmp 記錄,因此該日誌檔案的記錄不是百分之百值得信賴的。
以上提及的 3 個檔案(/var/log/wtmp 、/var/run/utmp 、/var/log/lastlog)是日誌子系統的關鍵檔案,都記錄了使用者登入的情況。這些檔案的所有記錄都包含了時間戳。這些檔案是按二進位制儲存的,故不能用 less 、 cat 之類的命令直接檢視這些檔案,而是需要使用相關命令透過這些檔案而檢視。其中,utmp 和 wtmp 檔案的資料結構是一樣的,而 lastlog 檔案則使用另外的資料結構,關於它們的具體的資料結構可以使用 man 命令查詢。
每次有一個使用者登入時,login 程式在檔案 lastlog 中檢視使用者的 UID 。如果存在,則把使用者上次登入、登出時間和 WordPress 主機名寫到標準輸出中,然後 login 程式在 lastlog 中記錄新的登入時間,開啟 utmp 檔案並插入使用者的 utmp 記錄。該記錄一直用到使用者登入退出時刪除。 utmp 檔案被各種命令使用,包括 who 、 w 、 users 和 finger 。
下一步,login 程式開啟檔案 wtmp 附加使用者的 utmp 記錄。當使用者登入退出時,具有更新時間戳的同一 utmp 記錄附加到檔案中。 wtmp 檔案被程式 last 使用。
/var/log/xferlog
該日誌檔案記錄 FTP 會話,可以顯示出使用者向 FTP 站群伺服器或從站群伺服器複製了什麼檔案。該檔案會顯示使用者複製到站群伺服器上的用來入侵站群伺服器的惡意程式,以及該使用者複製了哪些檔案供他使用。
該檔案的格式為:第一個域是日期和時間,第二個域是下載檔案所花費的秒數、遠端系統名稱、檔案大小、本地路徑名、傳輸型別(a:ASCII,b:二進位制)、與壓縮相關的標誌或 tar,或”_”(如果沒有壓縮的話)、傳輸方向(相對於站群伺服器而言:i 代表進,o 代表出)、訪問模式(a:匿名,g:輸入口令,r:真實使用者)、使用者名稱、服務名(通常是 ftp)、認證方法(l:RFC931,或 0),認證使用者的 ID 或”*” 。
