RedHat Linux常用的日誌文件
RedHat Linux常見的日誌文件詳述如下
/var/log/boot.log
該文件記錄了系統在引導過程中發生的事件,就是Linux系統開機自檢過程顯示的信息。
/var/log/cron
該日誌文件記錄crontab守護進程crond所派生的子進程的動作,前面加上用戶、登錄時間和PID,以及派生出的進程的動作。CMD的一個動作是cron派生出一個調度進程的常見情況。REPLACE(替換)動作記錄用戶對它的cron文件的更新,該文件列出了要週期性執行的任務調度。RELOAD動作在REPLACE動作後不久發生,這意味着cron注意到一個用戶的cron文件被更新而cron需要把它重新裝入內存。該文件可能會查到一些反常的情況。
/var/log/maillog
該日誌文件記錄了每一個發送到系統或從系統發出的電子郵件的活動。它可以用來查看用戶使用哪個系統發送工具或把數據發送到哪個系統。下面是該日誌文件的片段:
| Sep 4 17:23:52 UNIX sendmail[1950]: g849Npp01950: from=root, size=25, class=0, nrcpts=1, msgid=<[email protected]>, relay=root@localhost Sep 4 17:23:55 UNIX sendmail[1950]: g849Npp01950: to=lzy@fcceec.net, ctladdr=root (0/0), delay=00:00:04, xdelay=00:00:03, mailer=esmtp, pri=30025, relay=fcceec.net. [10.152.8.2], dsn=2.0.0, stat=Sent (Message queued) /var/log/messages |
該日誌文件是許多進程日誌文件的彙總,從該文件可以看出任何入侵企圖或成功的入侵。如以下幾行:
| Sep 3 08:30:17 UNIX login[1275]: FAILED LOGIN 2 FROM (null) FOR suying, Authentication failure Sep 4 17:40:28 UNIX -- suying[2017]: LOGIN ON pts/1 BY suying FROM fcceec.www.ec8.pfcc.com.cn Sep 4 17:40:39 UNIX su(pam_unix)[2048]: session opened for user root by suying(uid=999) |
該文件的格式是每一行包含日期、主機名、程序名,後面是包含PID或內核標識的方括號、一個冒號和一個空格,最後是消息。該文件有一個不足,就是被記錄的入侵企圖和成功的入侵事件,被淹沒在大量的正常進程的記錄中。但該文件可以由/etc/syslog文件進行定製。由/etc/syslog.conf配置文件決定系統如何寫入/var/messages。有關如何配置/etc/syslog.conf文件決定系統日誌記錄的行爲,將在後面詳細敘述。
/var/log/syslog
默認RedHat Linux不生成該日誌文件,但可以配置/etc/syslog.conf讓系統生成該日誌文件。它和/etc/log/messages日誌文件不同,它只記錄警告信息,常常是系統出問題的信息,所以更應該關注該文件。要讓系統生成該日誌文件,在/etc/syslog.conf文件中加上:*.warning /var/log/syslog 該日誌文件能記錄當用戶登錄時login記錄下的錯誤口令、Sendmail的問題、su命令執行失敗等信息。下面是一條記錄:
| Sep 6 16:47:52 UNIX login(pam_unix)[2384]: check pass; user unknown /var/log/secure |
該日誌文件記錄與安全相關的信息。該日誌文件的部分內容如下:
| Sep 4 16:05:09 UNIX xinetd[711]: START: ftp pid=1815 from=127.0.0.1 Sep 4 16:05:09 UNIX xinetd[1815]: USERID: ftp OTHER :root Sep 4 16:07:24 UNIX xinetd[711]: EXIT: ftp pid=1815 duration=135(sec) Sep 4 16:10:05 UNIX xinetd[711]: START: ftp pid=1846 from=127.0.0.1 Sep 4 16:10:05 UNIX xinetd[1846]: USERID: ftp OTHER :root Sep 4 16:16:26 UNIX xinetd[711]: EXIT: ftp pid=1846 duration=381(sec) Sep 4 17:40:20 UNIX xinetd[711]: START: telnet pid=2016 from=10.152.8.2 /var/log/lastlog |
該日誌文件記錄最近成功登錄的事件和最後一次不成功的登錄事件,由login生成。在每次用戶登錄時被查詢,該文件是二進制文件,需要使用lastlog命令查看,根據UID排序顯示登錄名、端口號和上次登錄時間。如果某用戶從來沒有登錄過,就顯示爲"**Never logged in**"。該命令只能以root權限執行。簡單地輸入lastlog命令後就會看到類似如下的信息:
| Username Port From Latest root tty2 Tue Sep 3 08:32:27 +0800 2002 bin **Never logged in** daemon **Never logged in** adm **Never logged in** lp **Never logged in** sync **Never logged in** shutdown **Never logged in** halt **Never logged in** mail **Never logged in** news **Never logged in** uucp **Never logged in** operator **Never logged in** games **Never logged in** gopher **Never logged in** ftp ftp UNIX Tue Sep 3 14:49:04 +0800 2002 nobody **Never logged in** nscd **Never logged in** mailnull **Never logged in** ident **Never logged in** rpc **Never logged in** rpcuser **Never logged in** xfs **Never logged in** gdm **Never logged in** postgres **Never logged in** apache **Never logged in** lzy tty2 Mon Jul 15 08:50:37 +0800 2002 suying tty2 Tue Sep 3 08:31:17 +0800 2002 |
系統賬戶諸如bin、daemon、adm、uucp、mail等決不應該登錄,如果發現這些賬戶已經登錄,就說明系統可能已經被入侵了。若發現記錄的時間不是用戶上次登錄的時間,則說明該用戶的賬戶已經泄密了。
/var/log/wtmp
該日誌文件永久記錄每個用戶登錄、註銷及系統的啓動、停機的事件。因此隨着系統正常運行時間的增加,該文件的大小也會越來越大,增加的速度取決於系統用戶登錄的次數。該日誌文件可以用來查看用戶的登錄記錄,last命令就通過訪問這個文件獲得這些信息,並以反序從後向前顯示用戶的登錄記錄,last也能根據用戶、終端 tty或時間顯示相應的記錄。
二、日誌命令
命令last有兩個可選參數:
last -u 用戶名 顯示用戶上次登錄的情況。
last -t 天數 顯示指定天數之前的用戶登錄情況。
/var/run/utmp
該日誌文件記錄有關當前登錄的每個用戶的信息。因此這個文件會隨着用戶登錄和註銷系統而不斷變化,它只保留當時聯機的用戶記錄,不會爲用戶保留永久的記錄。系統中需要查詢當前用戶狀態的程序,如 who、w、users、finger等就需要訪問這個文件。該日誌文件並不能包括所有精確的信息,因爲某些突發錯誤會終止用戶登錄會話,而系統沒有及時更新 utmp記錄,因此該日誌文件的記錄不是百分之百值得信賴的。
以上提及的3個文件(/var/log/wtmp、/var/run/utmp、/var/log/lastlog)是日誌子系統的關鍵文件,都記錄了用戶登錄的情況。這些文件的所有記錄都包含了時間戳。這些文件是按二進制保存的,故不能用less、cat之類的命令直接查看這些文件,而是需要使用相關命令通過這些文件而查看。其中,utmp和wtmp文件的數據結構是一樣的,而lastlog文件則使用另外的數據結構,關於它們的具體的數據結構可以使用man命令查詢。
每次有一個用戶登錄時,login程序在文件lastlog中查看用戶的UID。如果存在,則把用戶上次登錄、註銷時間和主機名寫到標準輸出中,然後login程序在lastlog中記錄新的登錄時間,打開utmp文件並插入用戶的utmp記錄。該記錄一直用到用戶登錄退出時刪除。utmp文件被各種命令使用,包括who、w、users和finger。
下一步,login程序打開文件wtmp附加用戶的utmp記錄。當用戶登錄退出時,具有更新時間戳的同一utmp記錄附加到文件中。wtmp文件被程序last使用。
/var/log/xferlog
該日誌文件記錄FTP會話,可以顯示出用戶向FTP服務器或從服務器拷貝了什麼文件。該文件會顯示用戶拷貝到服務器上的用來入侵服務器的惡意程序,以及該用戶拷貝了哪些文件供他使用。
該文件的格式爲:第一個域是日期和時間,第二個域是下載文件所花費的秒數、遠程系統名稱、文件大小、本地路徑名、傳輸類型(a:ASCII,b:二進制)、與壓縮相關的標誌或tar,或"_"(如果沒有壓縮的話)、傳輸方向(相對於服務器而言:i代表進,o代表出)、訪問模式(a:匿名,g:輸入口令,r:真實用戶)、用戶名、服務名(通常是ftp)、認證方法(l:RFC931,或0),認證用戶的ID或"*"。下面是該文件的一條記錄:
| Wed Sep 4 08:14:03 2002 1 UNIX 275531 /var/ftp/lib/libnss_files-2.2.2.so b _ o a -root@UNIX ftp 0 * c /var/log/kernlog |
edHat Linux默認沒有記錄該日誌文件。要啓用該日誌文件,必須在/etc/syslog.conf文件中添加一行:kern.* /var/log/kernlog 。這樣就啓用了向/var/log/kernlog文件中記錄所有內核消息的功能。該文件記錄了系統啓動時加載設備或使用設備的情況。一般是正常的操作,但如果記錄了沒有授權的用戶進行的這些操作,就要注意,因爲有可能這就是惡意用戶的行爲。下面是該文件的部分內容:
| Sep 5 09:38:42 UNIX kernel: NET4: Linux TCP/IP 1.0 for NET4.0 Sep 5 09:38:42 UNIX kernel: IP Protocols: ICMP, UDP, TCP, IGMP Sep 5 09:38:42 UNIX kernel: IP: routing cache hash table of 512 buckets, 4Kbytes Sep 5 09:38:43 UNIX kernel: TCP: Hash tables configured (established 4096 bind 4096) Sep 5 09:38:43 UNIX kernel: Linux IP multicast router 0.06 plus PIM-SM Sep 5 09:38:43 UNIX kernel: NET4: Unix domain sockets 1.0/SMP for Linux NET4.0. Sep 5 09:38:44 UNIX kernel: EXT2-fs warning: checktime reached, running e2fsck is recommended Sep 5 09:38:44 UNIX kernel: VFS: Mounted root (ext2 filesystem). Sep 5 09:38:44 UNIX kernel: SCSI subsystem driver Revision: 1.00 /var/log/Xfree86.x.log |
該日誌文件記錄了X-Window啓動的情況。另外,除了/var/log/外,惡意用戶也可能在別的地方留下痕跡,應該注意以下幾個地方:root和其他賬戶的shell歷史文件;用戶的各種郵箱,如.sent、mbox,以及存放在/var/spool/mail/ 和 /var/spool/mqueue中的郵箱;臨時文件/tmp、/usr/tmp、/var/tmp;隱藏的目錄;其他惡意用戶創建的文件,通常是以"."開頭的具有隱藏屬性的文件等。
具體命令
wtmp和utmp文件都是二進制文件,它們不能被諸如tail之類的命令剪貼或合併(使用cat命令)。用戶需要使用who、w、users、last和ac等命令來使用這兩個文件包含的信息。
who命令
who命令查詢utmp文件並報告當前登錄的每個用戶。who的默認輸出包括用戶名、終端類型、登錄日期及遠程主機。例如,鍵入who命令,然後按回車鍵,將顯示如下內容:
| chyang pts/0 Aug 18 15:06 ynguo pts/2 Aug 18 15:32 ynguo pts/3 Aug 18 13:55 lewis pts/4 Aug 18 13:35 ynguo pts/7 Aug 18 14:12 ylou pts/8 Aug 18 14:15 |
如果指明瞭wtmp文件名,則who命令查詢所有以前的記錄。命令who /var/log/wtmp將報告自從wtmp文件創建或刪改以來的每一次登錄。
w命令
w命令查詢utmp文件並顯示當前系統中每個用戶和它所運行的進程信息。例如,鍵入w命令,然後按回車鍵,將顯示如下內容:
| 3:36pm up 1 day, 22:34, 6 users, load average: 0.23, 0.29, 0.27 USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT chyang pts/0 202.38.68.242 3:06pm 2:04 0.08s 0.04s -bash ynguo pts/2 202.38.79.47 3:32pm 0.00s 0.14s 0.05 w lewis pts/3 202.38.64.233 1:55pm 30:39 0.27s 0.22s -bash lewis pts/4 202.38.64.233 1:35pm 6.00s 4.03s 0.01s sh /home/users/ ynguo pts/7 simba.nic.ustc.e 2:12pm 0.00s 0.47s 0.24s telnet mail ylou pts/8 202.38.64.235 2:15pm 1:09m 0.10s 0.04s -bash |
users命令
users命令用單獨的一行打印出當前登錄的用戶,每個顯示的用戶名對應一個登錄會話。如果一個用戶有不止一個登錄會話,那他的用戶名將顯示相同的次數。例如,鍵入users命令,然後按回車鍵,將顯示如下內容:
chyang lewis lewis ylou ynguo ynguo
last命令
last命令往回搜索wtmp來顯示自從文件第一次創建以來登錄過的用戶。例如:
| chyang pts/9 202.38.68.242 Tue Aug 1 08:34 - 11:23 (02:49) cfan pts/6 202.38.64.224 Tue Aug 1 08:33 - 08:48 (00:14) chyang pts/4 202.38.68.242 Tue Aug 1 08:32 - 12:13 (03:40) lewis pts/3 202.38.64.233 Tue Aug 1 08:06 - 11:09 (03:03) lewis pts/2 202.38.64.233 Tue Aug 1 07:56 - 11:09 (03:12) |
如果指明瞭用戶,那麼last只報告該用戶的近期活動,例如,鍵入last ynguo命令,然後按回車鍵,將顯示如下內容:
| ynguo pts/4 simba.nic.ustc.e Fri Aug 4 16:50 - 08:20 (15:30) ynguo pts/4 simba.nic.ustc.e Thu Aug 3 23:55 - 04:40 (04:44) ynguo pts/11 simba.nic.ustc.e Thu Aug 3 20:45 - 22:02 (01:16) ynguo pts/0 simba.nic.ustc.e Thu Aug 3 03:17 - 05:42 (02:25) ynguo pts/0 simba.nic.ustc.e Wed Aug 2 01:04 - 03:16 1+02:12) ynguo pts/0 simba.nic.ustc.e Wed Aug 2 00:43 - 00:54 (00:11) ynguo pts/9 simba.nic.ustc.e Thu Aug 1 20:30 - 21:26 (00:55) |
ac命令
ac命令根據當前的/var/log/wtmp文件中的登錄進入和退出來報告用戶連接的時間(小時),如果不使用標誌,則報告總的時間。例如,鍵入ac命令,然後按回車鍵,將顯示如下內容:
total 5177.47
鍵入ac -d命令,然後按回車鍵,將顯示每天的總的連接時間:
| Aug 12 total 261.87 Aug 13 total 351.39 Aug 14 total 396.09 Aug 15 total 462.63 Aug 16 total 270.45 Aug 17 total 104.29 Today total 179.02 |
鍵入ac -p命令,然後按回車鍵,將顯示每個用戶的總的連接時間:
| ynguo 193.23 yucao 3.35 rong 133.40 hdai 10.52 zjzhu 52.87 zqzhou 13.14 liangliu 24.34 total 5178.24 |
lastlog命令
lastlog文件在每次有用戶登錄時被查詢。可以使用lastlog命令檢查某特定用戶上次登錄的時間,並格式化輸出上次登錄日誌/var/log/lastlog的內容。它根據UID排序顯示登錄名、端口號(tty)和上次登錄時間。如果一個用戶從未登錄過,lastlog顯示**Never logged**。注意需要以root身份運行該命令,例如:
| rong 5 202.38.64.187 Fri Aug 18 15:57:01 +0800 2000 dbb **Never logged in** xinchen **Never logged in** pb9511 **Never logged in** xchen 0 202.38.64.190 Sun Aug 13 10:01:22 +0800 2000 |
另外,可加一些參數,例如,"last -u 102"命令將報告UID爲102的用戶;"last -t 7"命令表示限制爲上一週的報告。
三、進程統計
UNIX可以跟蹤每個用戶運行的每條命令,如果想知道昨晚弄亂了哪些重要的文件,進程統計子系統可以告訴你。它還對跟蹤一個侵入者有幫助。與連接時間日誌不同,進程統計子系統默認不激活,它必須啓動。在Linux系統中啓動進程統計使用accton命令,必須用root身份來運行。accton命令的形式爲:accton file,file必須事先存在。先使用touch命令創建pacct文件:touch /var/log/pacct,然後運行accton:accton /var/log/pacct。一旦accton被激活,就可以使用lastcomm命令監測系統中任何時候執行的命令。若要關閉統計,可以使用不帶任何參數的accton命令。
lastcomm命令報告以前執行的文件。不帶參數時,lastcomm命令顯示當前統計文件生命週期內記錄的所有命令的有關信息。包括命令名、用戶、tty、命令花費的CPU時間和一個時間戳。如果系統有許多用戶,輸入則可能很長。看下面的例子:
| crond F root ?? 0.00 secs Sun Aug 20 00:16 promisc_check.s S root ?? 0.04 secs Sun Aug 20 00:16 promisc_check root ?? 0.01 secs Sun Aug 20 00:16 grep root ?? 0.02 secs Sun Aug 20 00:16 tail root ?? 0.01 secs Sun Aug 20 00:16 sh root ?? 0.01 secs Sun Aug 20 00:15 ping S root ?? 0.01 secs Sun Aug 20 00:15 ping6.pl F root ?? 0.01 secs Sun Aug 20 00:15 sh root ?? 0.01 secs Sun Aug 20 00:15 ping S root ?? 0.02 secs Sun Aug 20 00:15 ping6.pl F root ?? 0.02 secs Sun Aug 20 00:15 sh root ?? 0.02 secs Sun Aug 20 00:15 ping S root ?? 0.00 secs Sun Aug 20 00:15 ping6.pl F root ?? 0.01 secs Sun Aug 20 00:15 sh root ?? 0.01 secs Sun Aug 20 00:15 ping S root ?? 0.01 secs Sun Aug 20 00:15 sh root ?? 0.02 secs Sun Aug 20 00:15 ping S root ?? 1.34 secs Sun Aug 20 00:15 locate root ttyp0 1.34 secs Sun Aug 20 00:15 accton S root ttyp0 0.00 secs Sun Aug 20 00:15 |
進程統計的一個問題是pacct文件可能增長得十分迅速。這時需要交互式地或經過cron機制運行sa命令來保證日誌數據在系統控制內。sa命令報告、清理並維護進程統計文件。它能把/var/log/pacct中的信息壓縮到摘要文件/var/log/savacct和/var/log/usracct中。這些摘要包含按命令名和用戶名分類的系統統計數據。在默認情況下sa先讀它們,然後讀pacct文件,使報告能包含所有的可用信息。sa的輸出有下面一些標記項。
avio:每次執行的平均I/O操作次數。
cp:用戶和系統時間總和,以分鐘計。
cpu:和cp一樣。
k:內核使用的平均CPU時間,以1k爲單位。
k*sec:CPU存儲完整性,以1k-core秒爲單位。
re:實時時間,以分鐘計。
s:系統時間,以分鐘計。
tio:I/O操作的總數。
u:用戶時間,以分鐘計。
例如:
| 842 173.26re 4.30cp 0avio 358k 2 10.98re 4.06cp 0avio 299k find 9 24.80re 0.05cp 0avio 291k ***other 105 30.44re 0.03cp 0avio 302k ping 104 30.55re 0.03cp 0avio 394k sh 162 0.11re 0.03cp 0avio 413k security.sh* 154 0.03re 0.02cp 0avio 273k ls 56 31.61re 0.02cp 0avio 823k ping6.pl* 2 3.23re 0.02cp 0avio 822k ping6.pl 35 0.02re 0.01cp 0avio 257k md5sum 97 0.02re 0.01cp 0avio 263k initlog 12 0.19re 0.01cp 0avio 399k promisc_check.s 15 0.09re 0.00cp 0avio 288k grep 11 0.08re 0.00cp 0avio 332k awk |
用戶還可以根據用戶而不是命令來提供一個摘要報告。例如,鍵入命令"sa -m",將顯示如下內容:
| 885 173.28re 4.31cp 0avk root 879 173.23re 4.31cp 0avk alias 3 0.05re 0.00cp 0avk qmailp 3 0.01re 0.00cp 0avk |
四、syslog設備
syslog已被許多日誌函數採納,它用在許多保護措施中。任何程序都可以通過syslog 記錄事件。syslog可以記錄系統事件,可以寫到一個文件或設備中,或給用戶發送一個信息。它能記錄本地事件或通過網絡記錄另一個主機上的事件。
syslog設備依據兩個重要的文件:/etc/syslogd(守護進程)和/etc/syslog.conf配置文件。習慣上,多數syslog信息被寫到/var/adm或/var/log目錄下的信息文件中(messages.*)。一個典型的syslog記錄包括生成程序的名字和一個文本信息。它還包括一個設備和一個優先級範圍(但不在日誌中出現)。
每個syslog消息被賦予下面的主要設備之一:
LOG_AUTH:認證系統login、su、getty等。
LOG_AUTHPRIV:同LOG_AUTH,但只登錄到所選擇的單個用戶可讀的文件中。
LOG_CRON:cron守護進程。
LOG_DAEMON:其他系統守護進程,如routed。
LOG_FTP:文件傳輸協議ftpd、tftpd。
LOG_KERN:內核產生的消息。
LOG_LPR:系統打印機緩衝池lpr、lpd。
LOG_MAIL:電子郵件系統。
LOG_NEWS:網絡新聞系統。
LOG_SYSLOG:由syslogd(8)產生的內部消息。
LOG_USER:隨機用戶進程產生的消息。
LOG_UUCP:UUCP子系統。
LOG_LOCAL0~LOG_LOCAL7:爲本地使用保留。
syslog爲每個事件賦予幾個不同的優先級:
LOG_EMERG:緊急情況。
LOG_ALERT:應該被立即改正的問題,如系統數據庫被破壞。
LOG_CRIT:重要情況,如硬盤錯誤。
LOG_ERR:錯誤。
LOG_WARNING:警告信息。
LOG_NOTICE:不是錯誤情況,但是可能需要處理。
LOG_INFO:情報信息。
LOG_DEBUG:包含情報的信息,通常只在調試一個程序時使用。
syslog.conf文件指明syslogd程序記錄日誌的行爲,該程序在啓動時查詢配置文件。該文件由不同程序或消息分類的單個條目組成,每個佔一行。對每類消息提供一個選擇域和一個動作域。這些域由tab符隔開:選擇域指明消息的類型和優先級;動作域指明syslogd接收到一個與選擇標準相匹配的消息時所執行的動作。每個選項是由設備和優先級組成的。當指明一個優先級時,syslogd將記錄一個擁有相同或更高優先級的消息。所以如果指明"crit",那所有標爲crit、alert和emerg的消息將被記錄。每行的行動域指明當選擇域選擇了一個給定消息後應該把它發送到哪兒。例如,如果想把所有郵件消息記錄到一個文件中,如下所示:
#Log all the mail messages in one place
mail.* /var/log/maillog
其他設備也有自己的日誌。UUCP和news設備能產生許多外部消息。它把這些消息存到自己的日誌(/var/log/spooler)中並把級別限爲"err"或更高。例如:
# Save mail and news errors of level err and higher in aspecial file.
uucp,news.crit /var/log/spooler
當一個緊急消息到來時,可能想讓所有的用戶都得到,也可能想讓自己的日誌接收並保存:
#Everybody gets emergency messages, plus log them on anther machine
*.emerg *
*.emerg @linuxaid.com.cn
alert消息應該寫到root和tiger的個人賬號中:
#Root and Tiger get alert and higher messages
*.alert root,tiger
有時syslogd將產生大量的消息。例如,內核("kernel"設備)可能很冗長。用戶可能想把內核消息記錄到/dev/console中。下面的例子表明內核日誌記錄被註釋掉了:
#Log all kernel messages to the console
#Logging much else clutters up the screen
#kern.* /dev/console
用戶可以在一行中指明所有的設備。下面的例子把info或更高級別的消息送到/var/log/messages,除了mail以外。級別"none"禁止一個設備:
#Log anything(except mail)of level info or higher
#Don't log private authentication messages!
*.infmail.none;authpriv.none /var/log/messages
在有些情況下,可以把日誌送到打印機,這樣網絡入侵者怎麼修改日誌就都沒有用了。通常要廣泛記錄日誌。syslog設備是一個攻擊者的顯著目標。一個爲其他主機維護日誌的系統對於防範服務器攻擊特別脆弱,因此要特別注意。
有個小命令logger爲syslog(3)系統日誌文件提供一個shell命令接口,使用戶能創建日誌文件中的條目。
用法:logger
例如:logger This is a test!
它將產生一個如下的syslog記錄:Aug 19 22:22:34 tiger: This is a test!
注意,不要完全相信日誌,因爲攻擊者很容易修改它的。
五、程序日誌與其他
許多程序通過維護日誌來反映系統的安全狀態。su命令允許用戶獲得另一個用戶的權限,所以它的安全很重要,它的日誌文件爲sulog。同樣的還有sudolog。另外,像Apache有兩個日誌:access_log和error_log。還有一些常用到的其他日誌工具,我們就不一一闡述了,有興趣的讀者可以參考下邊網址的內容。
Chklastlog:
ftp://coast.cs.purdue.edu/pub/tools/unix/chklastlog/
chkwtmp:
ftp://coast.cs.purdue.edu/pub/tools/unix/chkwtmp/
dump_lastlog:
ftp://coast.cs.purdue.edu/pub/tools/unix/dump_lastlog.Z
spar:
ftp://coast.cs.purdue.edu/pub/tools/unix/TAMU/
Swatch:
http://www.lomar.org/komar/alek/pres/swatch/cover.html
Zap:
ftp://caost.cs.purdue.edu/pub/tools/unix/zap.tar.gz
日誌分類方法:
http://csrc.nist.gov/nissc/1998/proceedings/paperD1.pdf