解剖Linux系统的LOG日志文件

运维 系统运维
网管主要靠Linux系统的LOG即我们时常所说的日志文件来获得侵入的痕迹及你进来的IP或其他信息。当然也有些网管使用第三方工具来记录侵入他电脑的痕迹,这里主要要讲的是Linux系统里记录你踪迹的LOG文件。

日志文件是专门用于记录系统操作事件的记录文件或文件集合,操作系统有操作系统日志文件,数据库系统有数据库系统日志文件,等等。今天介绍下LOG日志文件。

      网管主要靠系统的LOG,即我们时常所说的日志文件, 来获得侵入的痕迹及你进来的IP,或其他信息。当然也有些网管使用第三方工具来记录侵入他电脑的痕迹,这里主要要讲的是一般Linux系统里记录你踪迹的文件。

  那到底这些LOG日志文件放在哪里呢?这主要依靠的是你所进入的UNIX系统系统, 各个系统有些不同的LOG文件,但大多数都应该有差不多的位置,最普通的位置如下:

  /usr/adm - 早期版本的UNIX

  /var/adm - 新一点的版本使用这个位置

  /var/log - 一些版本的Solaris,linux BSD,Free BSD使用这个位置

  /etc - 多数UNIX版本把utmp放在这里,有些也把wtmp放在这里,syslog.conf在这里

  下面的一些文件根据你所在的目录不同而不同:

  acct 或 pacct -- 记录每个用户使用的命令记录

  access_log -- 主要当服务器运行NCSA HTTPD时, 记录什么站点连接过你的服务器

  aculog -- 保存着你拨出去的MODEMS记录

  lastlog -- 记录了用户最近的LOGIN记录和每个用户的最初目的地,有时是最后不成功LOGIN的记录

  loginlog -- 记录一些不正常的LOGIN记录

  messages -- 记录输出到系统控制台的记录,另外的信息由syslog来生成

  security -- 记录一些使用UUCP系统企图进入限制范围的事例

  sulog -- 记录使用su命令的记录

  utmp -- 记录当前登录到系统中的所有用户, 这个文件伴随着用户进入和离开系统而不断变化.

  utmpx -- UTMP的扩展

  wtmp -- 记录用户登录和退出事件

  syslog -- 最重要的日志文件,使用syslogd守护程序来获得日志信息:

  /dev/log -- 一个UNIX域套接字,接受在本地机器上运行的进程所产生的消息

  /dev/klog -- 一个从UNIX内核接受消息的设备

  514端口 -- 一个INTERNET套接字,接受其他机器通过UDP产生的syslog消息。

  uucp -- 记录的UUCP的信息,可以被本地UUCP活动更新, 也可有远程站点发起的动作修改,信息包括发出和接受的呼叫,发出的请求,发送者, 发送时间和发送主机

  lpd-errs -- 处理打印机故障信息的日志

  ftp日志 -- 执行带-l选项的ftpd能够获得记录功能

  httpd日志 -- HTTPD服务器在日志中记录每一个WEB访问记录

  history日志 -- 这个文件保存了用户最近输入命令的记录

  vold.log -- 记录使用外接媒介时遇到的错误记录

  ======================

  其他类型的日志文件-

  ======================

  有些类型的LOG文件没有特定的标题,但开始于一个特定的标志, 你可以在前面头发现如下的标志,这就一般表示此是个LOG日志文件,你就可以编辑它了:

  xfer -- 表明试图一个禁止的文件传输.

  rexe -- 表明试图执行一个不允许的命令

  还有许多其他其他类型的LOG文件存在,主要是第三方软件引起的,或者甚至他妈的网管自己有设置了一只"眼睛"在他的系统上,所以你要对你认为可能是LOG文件的文件多一份心眼。

  许多管理员喜欢把日志文件放在同一个目录中以便管理,所以你要检查你发现的LOG文件所在的目录中,是否有其他日志文件放在这里,如果有,咯,你知道怎么做。

  另一个你要注意的是有关LOG用户MAIL的文件,此文件名可以多种多样,或则有时是syslog文件的一部分。你要知道syslog记录那些信息, 你可以查看syslog.conf中的信息此文件的目录是在/etc中

  ======================

  Windows NT的审计跟踪

  ======================

  几乎WINDOWS NT系统中的每一项事务都可以在一定程度上被审计,在WINDOWS NT中可以在两个地方打开审计-EXPLORER 和USER MANAGER,在EXPLORER中,选择Securtiy,再选择Auditing以几乎Directory Auditing对话框,系统管理员可以在这个窗口选择跟踪有效的和无效的文件访问,在USER MANAGER中,系统管理员可以根据各种用户事件的成功和失败选择审计策略,如登录和退出,文件访问,权限非法和关闭系统等。

  WINDOWS NT是使用一种特殊的格式存放它的日志文件,这种格式的文件可以被事件查看器EVENT VIEWER读取。事件查看器可以在ADMINISTRATIVE TOOL程序组中找到。 系统管理员可以使用事件查看器的Filter选项根据一定条件选择要查看的日志条目,查看条件包括类别,用户和消息类型。

  WINDOWS NT 在三个分开的日志文件存放审计信息:

  Application Log - 文件包括用NT SECURITY AUTHORITY注册的应用程序产生的信息。

  Security Log - 包括有关通过NT可识别安全提供者和客户的系统访问信息。

  System Log - 包含所有系统相关事件的信息。

  WINDOWS NT FTP连接的日志:

  WINDOWS NT可以记录入境的FTP连接,在注册表中进行了修改后, 你可以是否记录由匿名的,正常用户或者两种用户建立的连接,可以在事件查看器中查看这些日志条目。

  WINDOWS NT的HTTPD事务

  系统管理员可以使用NT的HTTPD服务在日志中记录对特定文件的访问企图。 可以在控制面板的HTTPD配置工具中选择一个激活日志功能特性。

通过上文我们知道了Linux系统的LOG日志文件,希望对大家有所帮助。

【编辑推荐】

责任编辑:赵鹏 来源: 网络转载
相关推荐

2011-01-11 16:11:03

2009-11-24 09:39:55

SUSE Linux

2010-09-01 16:17:40

SQL删除日志

2009-10-23 17:35:16

linux进程管理

2014-12-22 09:51:06

Linuxlogwatch

2022-12-07 08:39:07

2013-09-11 09:36:02

VMwareLog Insight

2010-03-09 17:57:46

2009-03-10 19:19:16

Linux日志文件系统安装使用

2020-11-24 06:20:02

Linux日志文件系统

2017-12-19 11:00:54

Linux系统日志

2009-12-23 13:17:36

Linux设备驱动

2009-12-22 10:46:35

2013-04-15 15:07:43

清理日志Linux系统

2017-06-13 08:55:29

Log日志MySQL

2019-10-21 08:56:36

Linux日志文件拆分

2020-02-11 12:54:34

Linux日志文件消息

2017-06-13 15:10:02

大数据Log日志

2018-11-26 08:40:43

2011-01-14 17:54:43

点赞
收藏

51CTO技术栈公众号