返回
Linux系统日志查看

Linux系统日志查看

ID:38982174

大小:16.81 KB

页数:5页

时间:2019-06-22

Linux系统日志查看_第1页
Linux系统日志查看_第2页
Linux系统日志查看_第3页
Linux系统日志查看_第4页
Linux系统日志查看_第5页
资源描述:

《Linux系统日志查看》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、Linux系统日志查看Linux系统中的日志子系统对于系统安全来说非常重要,它记录了系统每天发生的各种各样的事情,包括那些用户曾经或者正在使用系统,可以通过日志来检查错误发生的原因,更重要的是在系统受到黑客攻击后,日志可以记录下攻击者留下的痕迹,通过查看这些痕迹,系统管理员可以发现黑客攻击的某些手段以及特点,从而能够进行处理工作,为抵御下一次攻击做好准备。在Linux系统中,有三类主要的日志子系统: ●连接时间日志:由多个程序执行,把记录写入到/var/log/wtmp和/var/run/utmp,login等程序会更新wtmp和utmp文件,使系

2、统管理员能够跟踪谁在何时登录到系统。●进程统计:由系统内核执行,当一个进程终止时,为每个进程往进程统计文件(pacct或acct)中写一个记录。进程统计的目的是为系统中的基本服务提供命令使用统计。●错误日志:由syslogd(8)守护程序执行,各种系统守护进程、用户程序和内核通过syslogd(3)守护程序向文件/var/log/messages报告值得注意的事件。另外有许多Unix程序创建日志。像HTTP和FTP这样提供网络服务的服务器也保持详细的日志。Linux下日志的使用1.基本日志命令的使用utmp、wtmp日志文件是多数Linux日志子系

3、统的关键,它保存了用户登录进入和退出的记录。有关当前登录用户的信息记录在文件utmp中;登录进入和退出记录在文件wtmp中;数据交换、关机以及重启的机器信息也都记录在wtmp文件中。所有的记录都包含时间戳。时间戳对于日志来说非常重要,因为很多攻击行为分析都是与时间有极大关系的。这些文件在具有大量用户的系统中增长十分迅速。例如wtmp文件可以无限增长,除非定期截取。许多系统以一天或者一周为单位把wtmp配置成循环使用。它通常由cron运行的脚本来修改,这些脚本重新命名并循环使用wtmp文件。utmp文件被各种命令文件使用,包括who、w、users和

4、finger。而wtmp文件被程序last和ac使用。但它们都是二进制文件,不能被诸如tail命令剪贴或合并(使用cat命令)。用户需要使用who、w、users、last和ac来使用这两个文件包含的信息。具体用法如下:who命令:who命令查询utmp文件并报告当前登录的每个用户。Who的缺省输出包括用户名、终端类型、登录日期及远程主机。使用该命令,系统管理员可以查看当前系统存在哪些不法用户,从而对其进行审计和处理。例如:运行who命令显示如下:[root@working]#whorootpts/0May921:11(10.0.2.128)roo

5、tpts/1May921:16(10.0.2.129)lhwenpts/7May922:03(10.0.2.27)如果指明了wtmp文件名,则who命令查询所有以前的记录。例如命令who/var/log/wtmp将报告自从wtmp文件创建或删改以来的每一次登录。日志使用注意事项系统管理人员应该提高警惕,随时注意各种可疑状况,并且按时和随机地检查各种系统日志文件,包括一般信息日志、网络连接日志、文件传输日志以及用户登录日志等。在检查这些日志时,要注意是否有不合常理的时间记载。例如:■用户在非常规的时间登录;■不正常的日志记录,比如日志的残缺不全或者是

6、诸如wtmp这样的日志文件无故地缺少了中间的记录文件;■用户登录系统的IP地址和以往的不一样;■用户登录失败的日志记录,尤其是那些一再连续尝试进入失败的日志记录;■非法使用或不正当使用超级用户权限su的指令;■无故或者非法重新启动各项网络服务的记录。另外,尤其提醒管理人员注意的是:日志并不是完全可靠的。高明的黑客在入侵系统后,经常会打扫现场。所以需要综合运用以上的系统命令,全面、综合地进行审查和检测,切忌断章取义,否则很难发现入侵或者做出错误的判断。users命令:users用单独的一行打印出当前登录的用户,每个显示的用户名对应一个登录会话。如果一

7、个用户有不止一个登录会话,那他的用户名将显示相同的次数。运行该命令将如下所示:[root@working]#usersrootroot//只登录了一个Root权限的用户last命令:last命令往回搜索wtmp来显示自从文件第一次创建以来登录过的用户。系统管理员可以周期性地对这些用户的登录情况进行审计和考核,从而发现其中存在的问题,确定不法用户,并进行处理。运行该命令,如下所示:[root@working]#lastdevinpts/110.0.2.221MonJul2115:08-down(8+17:46)devinpts/110.0.2.221

8、MonJul2114:42-14:53(00:11)changyipts/210.0.2.141MonJul2114:12

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。