CentOS系统⽇志
⽇志分类:
⼀、/var⽬录
⼀些数据库如MySQL则在/var/lib下,⽤户未读的邮件的默认存放地点为/var/spool/mail
⼆、:/var/log/
系统的引导⽇志:/var/log/boot.log,例如:
Feb 26 10:40:48 sendmial : sendmail startup succeeded #邮件服务启动成功!
系统⽇志⼀般都存在/var/log下,常⽤的系统⽇志如下:
/var/log/dmesg #核⼼启动⽇志:
/var/log/messages #系统报错⽇志,系统启动时的状态信息,运⾏时的状态信息。⽐如某个⼈的⾝份切换为 root等。如果服务正在运⾏,⽐如 DHCP 服务器,您可以在 messages ⽂件中观察它的活动。
/var/log/maillog #邮件系统⽇志:
/var/log/xferlog #FTP系统⽇志:
/var/log/secure #安全信息和系统登录与⽹络连接的信息:
/var/log/wtmp #记录所有的登录和退出登录,⼆进制⽂件,须⽤last来读取内容
# who -u /var/log/wtmp 查看信息
/var/log/spooler #News⽇志
/var/log/rpmpkgs #RPM软件包
/var/log/XFree86.0.log #记录 Xfree86 Xwindows 服务器最后⼀次执⾏的结果。如果进系统图形界⾯失败就他。
/var/log/boot.log #引导⽇志记录开机启动讯息,dmesg | more
/var/log/cron #cron(定制任务⽇志)⽇志:
⽂件 /var/run/utmp 记录着现在登录的⽤户。
⽂件 /var/log/lastlog 记录每个⽤户最后的登录信息。
⽂件 /var/log/btmp 记录错误的登录尝试。
less /var/log/auth.log 需要⾝份确认的操作
⽇志详解:
/var/log/cron 记录crontab守护进程crond所派⽣的⼦进程的动作,前⾯加上⽤户、登录时间和PID,以及派⽣出的进程的动作。CMD的⼀个动作是cron派⽣出⼀个调度进程的常见情
系统错误况。REPLACE(替换)动作记录⽤户对它的 cron⽂件的更新,该⽂件列出了要周期性执⾏的任务调度。 RELOAD动作在REPLACE动作后不久发⽣,这意味着cron注意到⼀个⽤户的cron
⽂件被更新⽽cron需要把它重新装⼊内存。该⽂件可能会查到⼀些反常的情况。
/var/log/maillog 记录了每⼀个接收或发出的电⼦邮件的活动。它可以⽤来查看⽤户使⽤哪个系统发送⼯具或把数据发送到哪个系统。下⾯是该⽇志⽂件的⽚段:
Sep 4 17:23:52 UNIX sendmail[1950]: g849Npp01950: from=root, size=25,class=0, nrcpts=1, msgid=<200209040923.g849Npp01950@redhat.pfcc>,relay=root@localhost
Sep 4 17:23:55 UNIX sendmail[1950]: g849Npp01950: to=lzy@fcceec, ctladdr=root (0/0), delay=00:00:04, xdelay=00:00:03, mailer=esmtp, pri=30025, relay=fcceec. [10.152.8.2], dsn=2.0.0, stat=Sent (Message q 该⽇志⽂件是许多进程⽇志⽂件的汇总,从该⽂件可以看出任何⼊侵企图或成功的⼊侵。如以下⼏⾏:
Sep 3 08:30:17 UNIX login[1275]: FAILED LOGIN 2 FROM (null) FOR suying, Authentication failure
Sep 4 17:40:28 UNIX -- suying[2017]: LOGIN ON pts/1 BY suying FROM 8.pfcc
Sep 4 17:40:39 UNIX su(pam_unix)[2048]: session opened for user root by suying(uid=999)
该⽂件的格式:
⽇期、主机名、程序名,后⾯是包含PID或内核标识的⽅括号、冒号和空格,最后是消息。
该⽂件有⼀个不⾜,就是被记录的⼊侵企图和成功的⼊侵事件,被淹没在⼤量的正常进程的记录中。但该⽂件可以由 /etc/syslog⽂件进⾏定制。由 /f配置⽂件决定系统如何写
⼊/var/messages。
/var/log/syslog
默认RedHat Linux不⽣成该⽇志⽂件,但可以配置/f让系统⽣成该⽇志⽂件。它和/etc/log/messages⽇志⽂件不同,它只记录警告信息,常常是系统出问题的信息。要让系统
⽣成该⽇志⽂件,在/f⽂件中加上: *.warning /var/log/syslog 该⽇志⽂件能记录当⽤户登录时login记录下的错误⼝令、Sendmail的问题、su命令执⾏失败等信息。下⾯是⼀条
记录:
Sep 6 16:47:52 UNIX login(pam_unix)[2384]: check pass; user unknown
/var/log/secure
Sep 4 16:05:09 UNIX xinetd[711]: START: ftp pid=1815 from=127.0.0.1
Sep 4 16:05:09 UNIX xinetd[1815]: USERID: ftp OTHER :root
Sep 4 16:07:24 UNIX xinetd[711]: EXIT: ftp pid=1815 duration=135(sec)
Sep 4 16:10:05 UNIX xinetd[711]: START: ftp pid=1846 from=127.0.0.1
Sep 4 16:10:05 UNIX xinetd[1846]: USERID: ftp OTHER :root
Sep 4 16:16:26 UNIX xinetd[711]: EXIT: ftp pid=1846 duration=381(sec)
/var/log/lastlog
该⽇志⽂件记录最近成功登录的事件和最后⼀次不成功的登录事件,由login⽣成。在每次⽤户登录时被查询,该⽂件是⼆进制⽂件,需要使⽤ lastlog命令查看,根据UID排序显⽰登录
名、端⼝号和上次登录时间。如果某⽤户从来没有登录过,就显⽰为"**Never logged in**"。该命令只能以root权限执⾏。简单地输⼊lastlog命令后就会看到类似如下的信息:
Username Port From Latest
root tty2 Tue Sep 3 08:32:27 +0800 2002
bin **Never logged in**
gopher **Never logged in**
postgres **Never logged in**
apache **Never logged in**
lzy tty2 Mon Jul 15 08:50:37 +0800 2002
suying tty2 Tue Sep 3 08:31:17 +0800 2002
系统账户诸如bin、daemon、adm、uucp、mail等决不应该登录,如果发现这些账户已经登录,就说明系统可能已经被⼊侵了。若发现记录的时间不是⽤户上次登录的时间,则说明该⽤户
的账户已经泄密了。
/var/log/wtmp
该⽇志⽂件永久记录每个⽤户登录、注销及系统的启动、停机的事件。因此该⽂件会越来越⼤。last命令就通过访问这个⽂件获得这些信息,并以反序从后向前显⽰⽤户的登录记录,last
也能根据⽤户、终端 tty或时间显⽰相应的记录。
命令last有两个可选参数:
last -u ⽤户名 #显⽰⽤户上次登录的情况。
last -t 天数 #显⽰指定天数之前的⽤户登录情况。
/var/run/utmp
该⽇志⽂件记录有关当前登录的每个⽤户的信息。它只保留当时联机的⽤户记录,不会为⽤户保留永久的记录。系统中需要查询当前⽤户状态的程序,如 who、w、users、finger等就需要访问这个⽂件。该⽇志⽂件并不能包括所有精确的信息,因为某些突发错误会终⽌⽤户登录会话,⽽系统没有及时更新 utmp记录,因此该⽇志⽂件的记录不是百分之百值得信赖的。
以上提及的3个⽂件(/var/log/wtmp、/var/run/utmp、 /var/log/lastlog)是⽇志⼦系统的关键⽂件,都记录了⽤户登录的情况。这些⽂件的所有记录都包含了时间戳。这些⽂件是按⼆进制保存的。其中utmp和wtmp⽂件的数据结构是⼀样的,⽽ lastlog⽂件则使⽤另外的数据结构,关于它们的具体的数据结构可以使⽤man命令查询。
每次有⼀个⽤户登录时,login程序在⽂件lastlog中查看⽤户的UID。如果存在,则把⽤户上次登录、注销时间和主机名写到标准输出中,然后 login程序在lastlog中记录新的登录时间,打开utmp⽂件并插⼊⽤户的utmp记录。该记录⼀直⽤到⽤户登录退出时删除。utmp⽂件被各种命令使⽤,包括who、w、users和finger。
下⼀步,login程序打开⽂件wtmp附加⽤户的utmp记录。当⽤户登录退出时,具有更新时间戳的同⼀utmp记录附加到⽂件中。wtmp⽂件被程序last使⽤。
/var/log/xferlog
该⽇志⽂件记录FTP会话,可以显⽰出⽤户向FTP服务器或从服务器拷贝了什么⽂件。该⽂件会显⽰⽤户拷贝到服务器上的⽤来⼊侵服务器的恶意程序,以及该⽤户拷贝了哪些⽂件供他使⽤。
该⽂件的格式为:第⼀个域是⽇期和时间,第⼆个域是下载⽂件所花费的秒数、远程系统名称、⽂件⼤⼩、本地路径名、传输类型(a:ASCII,b:⼆进制)、与压缩相关的标志或tar,或"_"(如果没有压缩的话)、传输⽅向(相对于服务器⽽⾔:i代表进,o代表出)、访问模式(a:匿名,g:输⼊⼝令,r:真实⽤户)、⽤户名、服务名(通常是ftp)、认证⽅法(l:RFC931,或 0),认证⽤户的ID或"*"。下⾯是该⽂件的⼀条记录:
Wed Sep 4 08:14:03 2002 1 UNIX 275531
/var/ftp/lib/libnss_files-2.2.2.so b _ o a -root@UNIX ftp 0 * c
/var/log/kernlog
RedHat Linux默认没有记录该⽇志⽂件。要启⽤该⽇志⽂件,必须在/f⽂件中添加⼀⾏:kern.* /var/log/kernlog 。这样就启⽤了向/var/log/kernlog⽂件中记录所有内核消息的功能。该⽂件记录了系统启动时加载设备或使⽤设备的情况。⼀般是正常的操作,但如果记录了没有授权的⽤户进⾏的这
些操作,就要注意,因为有可能这就是恶意⽤户的⾏为。下⾯是该⽂件的部分内容:
Sep 5 09:38:42 UNIX kernel: NET4: Linux TCP/IP 1.0 for NET4.0
Sep 5 09:38:42 UNIX kernel: IP Protocols: ICMP, UDP, TCP, IGMP
Sep 5 09:38:42 UNIX kernel: IP: routing cache hash table of 512 buckets, 4Kbytes
Sep 5 09:38:43 UNIX kernel: TCP: Hash tables configured (established 4096 bind 4096)
Sep 5 09:38:43 UNIX kernel: Linux IP multicast router 0.06 plus PIM-SM
Sep 5 09:38:43 UNIX kernel: NET4: Unix domain sockets 1.0/SMP for Linux NET4.0.
Sep 5 09:38:44 UNIX kernel: EXT2-fs warning: checktime reached, running e2fsck is recommended
Sep 5 09:38:44 UNIX kernel: VFS: Mounted root (ext2 filesystem).
Sep 5 09:38:44 UNIX kernel: SCSI subsystem driver Revision: 1.00
/var/log
该⽇志⽂件记录了X-Window启动的情况。另外,除了/var/log/外,恶意⽤户也可能在别的地⽅留下痕迹,应该注意以下⼏个地⽅:root 和其他账户的shell历史⽂件;⽤户的各种邮箱,
如.sent、mbox,以及存放在/var/spool/mail/ 和 /var/spool/mqueue中的邮箱;临时⽂件/tmp、/usr/tmp、/var/tmp;隐藏的⽬录;其他恶意⽤户创建的⽂件,通常是以 "."开头的具有隐藏属性的⽂件等。
四、具体命令
wtmp和utmp⽂件都是⼆进制⽂件,它们不能被诸如tail之类的命令剪贴或合并(使⽤cat命令)。⽤户需要使⽤who、w、users、last和ac等命令来使⽤这两个⽂件包含的信息。
who命令
who命令查询utmp⽂件并报告当前登录的每个⽤户。who的默认输出包括⽤户名、终端类型、登录⽇期及远程主机。例如,键⼊who命令,然后按回车键,将显⽰如下内容:
chyang pts/0 Aug 18 15:06
ynguo pts/2 Aug 18 15:32
ynguo pts/3 Aug 18 13:55
lewis pts/4 Aug 18 13:35
ynguo pts/7 Aug 18 14:12
ylou pts/8 Aug 18 14:15
如果指明了wtmp⽂件名,则who命令查询所有以前的记录。命令who /var/log/wtmp将报告⾃从wtmp⽂件创建或删改以来的每⼀次登录。
w命令
w命令查询utmp⽂件并显⽰当前系统中每个⽤户和它所运⾏的进程信息。例如,键⼊w命令,然后按回车键,将显⽰如下内容:
3:36pm up 1 day, 22:34, 6 users, load average: 0.23, 0.29, 0.27
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
chyang pts/0 202.38.68.242 3:06pm 2:04 0.08s 0.04s -bash
ynguo pts/2 202.38.79.47 3:32pm 0.00s 0.14s 0.05 w
lewis pts/3 202.38.64.233 1:55pm 30:39 0.27s 0.22s -bash
lewis pts/4 202.38.64.233 1:35pm 6.00s 4.03s 0.01s sh /home/users/
ynguo pts/7 simba.nic.ustc.e 2:12pm 0.00s 0.47s 0.24s telnet mail
ylou pts/8 202.38.64.235 2:15pm 1:09m 0.10s 0.04s -bash
users命令
users命令⽤单独的⼀⾏打印出当前登录的⽤户,每个显⽰的⽤户名对应⼀个登录会话。如果⼀个⽤户有不⽌⼀个登录会话,那他的⽤户名将显⽰相同的次数。例如,键⼊users命令,然后按回车键,将显⽰如下内容:
chyang lewis lewis ylou ynguo ynguo
last命令
⽤于显⽰⽤户最近登录信息。
last命令往回搜索wtmp来显⽰⾃从⽂件第⼀次创建以来登录过的⽤户。例如:
chyang pts/9 202.38.68.242 Tue Aug 1 08:34 - 11:23 (02:49)
cfan pts/6 202.38.64.224 Tue Aug 1 08:33 - 08:48 (00:14)
chyang pts/4 202.38.68.242 Tue Aug 1 08:32 - 12:13 (03:40)
lewis pts/3 202.38.64.233 Tue Aug 1 08:06 - 11:09 (03:03)
lewis pts/2 202.38.64.233 Tue Aug 1 07:56 - 11:09 (03:12)
如果指明了⽤户,那么last只报告该⽤户的近期活动,例如,键⼊last ynguo命令,然后按回车键,将显⽰如下内容:
ynguo pts/4 simba.nic.ustc.e Fri Aug 4 16:50 - 08:20 (15:30)
ynguo pts/4 simba.nic.ustc.e Thu Aug 3 23:55 - 04:40 (04:44)
ynguo pts/11 simba.nic.ustc.e Thu Aug 3 20:45 - 22:02 (01:16)
ynguo pts/0 simba.nic.ustc.e Thu Aug 3 03:17 - 05:42 (02:25)
ynguo pts/0 simba.nic.ustc.e Wed Aug 2 01:04 - 03:16 1+02:12)
ynguo pts/0 simba.nic.ustc.e Wed Aug 2 00:43 - 00:54 (00:11)
ynguo pts/9 simba.nic.ustc.e Thu Aug 1 20:30 - 21:26 (00:55)
ac命令
ac命令根据当前的/var/log/wtmp⽂件中的登录进⼊和退出来报告⽤户连接的时间(⼩时),如果不使⽤标志,则报告总的时间:
#ac
total 5177.47
ac -d #显⽰每天的总连接时间:
Aug 12 total 261.87
Aug 13 total 351.39
Aug 14 total 396.09
Aug 15 total 462.63
Aug 16 total 270.45
Aug 17 total 104.29
Today total 179.02
键⼊ac -p命令,显⽰每个⽤户的总的连接时间:
ynguo 193.23
yucao 3.35
rong 133.40
hdai 10.52
zjzhu 52.87
zqzhou 13.14
liangliu 24.34
total 5178.24
lastlog命令
lastlog ⽂件在每次有⽤户登录时被查询。可以使⽤lastlog命令检查某特定⽤户上次登录的时间,并格式化输出上次登录⽇志 /var/log/lastlog的内容。它根据UID排序显⽰登录名、端⼝号(tty)和上次登录时间。如果⼀个⽤户从未登录过,lastlog显⽰ **Never logged**。注意需要以root⾝份运⾏该命令,例如:
rong 5 202.38.64.187 Fri Aug 18 15:57:01 +0800 2000
dbb **Never logged in**
xinchen **Never logged in**
pb9511 **Never logged in**
xchen 0 202.38.64.190 Sun Aug 13 10:01:22 +0800 2000
另外,可加⼀些参数,例如,"last -u 102"命令将报告UID为102的⽤户;"last -t 7"命令表⽰限制为上⼀
周的报告。
五、进程统计
UNIX 可以跟踪每个⽤户运⾏的每条命令,如果想知道昨晚弄乱了哪些重要的⽂件,进程统计⼦系统可以告诉你。它还对跟踪⼀个侵⼊者有帮助。与连接时间⽇志不同,进程统计⼦系统默认不启动。
touch /var/log/pacct #创建pacct⽂件
accton /var/log/pacct #启动进程统计,必须⽤root⾝份来运⾏
⼀旦accton被激活,就可以使⽤lastcomm命令监测系统中任何时候执⾏的命令。若要关闭统计,可以使⽤不带任何参数的accton命令。
lastcomm命令报告以前执⾏的⽂件。不带参数时,lastcomm命令显⽰当前统计⽂件⽣命周期内记录的所有命令的有关信息。包括命令名、⽤户、tty、命令花费的CPU时间和⼀个时间戳。如果系统有许多⽤户,输⼊则可能很长。看下⾯的例⼦:
crond F root ?? 0.00 secs Sun Aug 20 00:16
promisc_check.s S root ?? 0.04 secs Sun Aug 20 00:16
promisc_check root ?? 0.01 secs Sun Aug 20 00:16
grep root ?? 0.02 secs Sun Aug 20 00:16
ping S root ?? 0.01 secs Sun Aug 20 00:15
sh root ?? 0.02 secs Sun Aug 20 00:15
ping S root ?? 1.34 secs Sun Aug 20 00:15
locate root ttyp0 1.34 secs Sun Aug 20 00:15
accton S root ttyp0 0.00 secs Sun Aug 20 00:15
进程统计的⼀个问题是pacct⽂件可能增长得⼗分迅速。这时需要交互式地或经过 cron机制运⾏sa命令来保证⽇志数据在系统控制内。sa命令报告、清理并维护进程统计⽂件。它能
把/var/log/pacct中的信息压缩到摘要⽂件/var/log/savacct和 /var/log/usracct中。这些摘要包含按命令名和⽤户名分类的系统统计数据。在默认情况下sa先读它们,然后读pacct⽂件,使报告能包含所有的可⽤信息。sa的输出有下⾯⼀些标记项。
/
var/log⽬录下的20个Linux⽇志⽂件 :
其中⼀些⽇志⽂件只有特定版本采⽤,如dpkg.log只能在基于Debian的系统中看到。
/var/log/messages #包括整体系统信息,其中也包含系统启动期间的⽇志。此外,mail,cron,daemon,kern和auth等内容也记录在var/log/messages⽇志中。
/var/log/dmesg #内核缓冲信息(kernel ring buffer)。在系统启动时,会在屏幕上显⽰许多与硬件有关的信息。可以⽤dmesg查看它们。
/var/log/auth.log #系统授权信息,包括⽤户登录和使⽤的权限机制等。
/var/log/boot.log #系统启动⽇志。
/var/log/daemon.log #包含各种系统后台守护进程⽇志信息。
/var/log/dpkg.log #包括安装或dpkg命令清除软件包的⽇志。
/var/log/kern.log #包含内核产⽣的⽇志,有助于在定制内核时解决问题。
/var/log/lastlog #记录所有⽤户的最近信息。这不是⼀个ASCII⽂件,因此需要⽤lastlog命令查看内容。
/var/log/maillog /var/log/mail.log #邮件信息。例如,sendmail⽇志信息就全部送到这个⽂件中。
/var/log/user.log #⽤户信息的⽇志。
/var/log #来⾃X的⽇志信息。
/var/log/alternatives.log #更新替代信息都记录在这个⽂件中。
/var/log/btmp #记录所有失败登录信息。使⽤last命令可以查看btmp⽂件。例如,”last -f /var/log/btmp | more“。
/var/log/cups #涉及所有打印信息的⽇志。
/var/log/anaconda.log #在安装Linux时,所有安装信息都储存在这个⽂件中。
/var/log/yum.log #包含使⽤yum安装的软件包信息。
/var/log/cron #每当cron进程开始⼀个⼯作时,就会将相关信息记录在这个⽂件中。
/var/log/secure #包含验证和授权⽅⾯信息。例如,sshd会将所有信息记录(其中包括失败登录)在这⾥。
/var/log/wtmp或/var/log/utmp #包含登录信息。使⽤wtmp可以出谁正在登陆进⼊系统,谁使⽤命令显⽰这个⽂件或信息等。
/var/log/faillog – 包含⽤户登录失败信息。此外,错误登录命令也会记录在本⽂件中。
除了上述Log⽂件以外, /var/log还基于系统的具体应⽤包含以下⼀些⼦⽬录:
/var/log/httpd/或/var/log/apache2 #包含服务器access_log和error_log信息。
/var/log/lighttpd/ #包含light HTTPD的access_log和error_log。
/var/log/mail/ #这个⼦⽬录包含邮件服务器的额外⽇志。
/var/log/prelink/ #包含.so⽂件被prelink修改的信息。
/var/log/audit/ #包含被 Linux audit daemon储存的信息。
/var/log/samba/ #包含由samba存储的信息。
/var/log/sa/ #包含每⽇由sysstat软件包收集的sar⽂件。
/var/log/sssd/ #⽤于守护进程安全服务。
除了⼿动存档和清除这些⽇志⽂件以外,还可以使⽤logrotate在⽂件达到⼀定⼤⼩后⾃动删除。可以尝试⽤vi,tail,grep和less等命令查看这些⽇志⽂件。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论