日志对于安全来说,非常重要,它记录了系统每天发生的各种各样的事情,你可以通过它来检查错误发生的原因,或者受到攻击时攻击者留下的痕迹。日志主要的功能有:审计和监测。它还可以实时的监测系统状态,监测和追踪侵入者等等。
1、日志系统分类
大概分为三大类
(1)系统接入日志 - 把记录写入到/var/log/wtmp和/var/run/utmp;login等程序更新wtmp和utmp文件,使系统管理员能够跟踪谁在何时登录到系统。
(2)错误日志 - 有syslogd执行记录。各种系统守护进程、用户程序和内核通过syslogd项文件/var/log/messages报告值得注意的时间。
(3)进程统计日志 - Linux内核记录记录该日志,当一个进程终止时,进程统计文件(pacct或acct)中会进行记录。
进程统计日志可以供系统管理员分析系统使用者对系统进行的配置,以及对文件进行的操作。
2、连接时间日志
utmp、wtmp和lastlog日志文件时多数重用unix日志子系统的关键–保持用户登录进入和退出的记录
有关当前登录用户的信息记录在文件utmp中
登录和注销记录在文件wtmp中
最后一次登录文件可以用lastlog命令查看,数据交换、关机和重启也记录在wtmp文件中。
who、w、users、ac命令由系统内核执行。
当一个进程终止时,为每个进程往进程统计文件(pacct或acct)中写一个记录。进程统计的目的时为系统中的基本服务提供命令使用统计。
/var/log/secure登录进系统给的记录(包括sshd telnet pop)
3、常用命令小结
who:查询utmp文件并报告当前登录的每个用户。who的缺省输出包括用户名、终端类型、登陆日期及远程主机。
w:查询utmp文件并显示当前系统中每个用户和它所运行的进程信息。
users:用单独的一行打印出当前登录的用户,每个显示的用户名对应一个登录会话。如果一个用户由不知一个登录会话,那它的用户名将显示相同的次数。
last:往回搜索wtmp来显示自从文件第一次创建以来登录过的用户。
ac:更加当前的/var/log/wtmp文件中的登录进入和退出来报告用户连结的时间,如果不适用标志,则报告总的时间。
lastlog:在每次由用户登录时被查询。可以使用lastlog命令来检查某特定用户上次登录的时间,并格式化输出上次登录日志/var/log/lastlog的内容。
它根据UID排序显示登录名、端口号(tty)和上次登录时间。
4、错误日志(syslog配置)
syslog常被称为系统日志或系统记录,是一种用来在互联网协议(TCP/IP)的网络中传递记录档讯息的标准。
syslog可以记录系统时间,可以写到一个文件或设备中,或给用户发送一个信息。它能记录本地时间或通过网络记录另一个主机上的时间。
5、常见的安全日志介绍
/var/run/utmp #记录现在登入的用户/var/log/wtmp、/var/log/faillog #记录正确登录系统与错误登录系统者的账号信息/var/log/lastlog #检测所有账号登录信息/var/log/btmp #记录错误的登入尝试(注:可以查看电脑是否正在被爆破)/var/log/auth.log #需要身份确认的操作(可能存在)/var/log/cron #工作调度/var/log/dmesg #内核检测过程中产生的信息/var/log/maillog或/var/log/mail/* #邮件/var/log/messages #记录系统发生的所有错误信息/var/log/secure #涉及账号密码信息/ar/log/httpd/、/var/log/news/、/var/log/samba/* #不同网络服务的信.