8.2 Linux的系统日志
学习目标
·了解什么是日志系统
·懂得Linux系统下的三个主日志系统
·了解日志系统的配置文件及用处
·了解系统日志的书写
在Linux系统中有三个主要的日志子系统,为了保证Linux系统正常运行、准确解决遇到的各种各样的系统问题,认真地读取日志文件是系统管理员的一项非常重要的任务。日志对于安全来说,非常重要,记录了系统每天发生的各种各样的事情,用户可以通过检查日志,找到错误发生的原因,或者受到攻击时留下的蛛丝马迹。
日志主要的功能有:审计和监测,它还可以实时地监测系统状态,监测和追踪侵入者等等。黑客可以通过各种方法利用系统管理员的疏忽侵入用户的系统,它们的一举一动都会记录到系统的日志之中,尽管它们可能可以改变这些日志信息,甚至用自己的程序替换掉系统本身的命令程序,但是通过日志总还是能找到一些信息。
在Linux系统中,有三个主要的日志子系统:
连接时间日志——由多个程序执行,把记录写入到/var/log/wtmp和/var/run/utmp,login等程序更新wtmp和utmp文件,使系统管理员能够跟踪谁在何时登录到系统。
进程统计——由系统内核执行。当一个进程终止时,为每个进程往进程统计文件(pacct 或acct)中写一个记录。进程统计的目的是为系统中的基本服务提供命令使用统计。
错误日志——由syslogd(8)执行。各种系统守护进程、用户程序和内核通过syslog(3)向文件/var/log/messages报告值得注意的事件。另外有许多UNIX程序创建日志。像HTTP 和FTP这样提供网络服务的服务器也保存详细的日志。
常用的日志文件如下:
·access-log:记录HTTP/web的传输;
·acctlpacct:记录用户命令;
·aculog:记录MODEM的活动;
·btmp:记录失败的记录;
·lastlog:记录最近几次成功登录的事件和最后一次不成功的登录;
·messages:从syslog中记录信息(有的链接到syslog文件);
·sudolog:记录使用sudo发出的命令;
·sulog:记录使用su命令的使用;
·syslog:从syslog中记录信息(通常链接到messages文件);
·utmp:记录当前登录的每个用户;
·wtmp:一个用户每次登录进入和退出时间的永久记录;
·xferiog:记录FTP会话。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
