Linux日志管理五大命令詳解
日志主要的功能有:審計和監測。它還可以實時的監測系統狀態,監測和追蹤侵入者等等。成功地管理任何系統的關鍵之一,是要知道系統中正在發生什么事。Linux中提供了異常日志,并且日志的細節是可配置的。Linux日志都以明文形式存儲,所以用戶不需要特殊的工具就可以搜索和閱讀它們。還可以編寫腳本,來掃描這些日志,并基于它們的內容去自動執行某些功能。Linux日志存儲在/var/log目錄中。這里有幾個由系統維護的日志文件,但其他服務和程序也可能會把它們的日志放在這里。大多數日志只有root賬戶才可以讀,不過修改文件的訪問權限就可以讓其他人可讀。在Linux系統中,有四類主要的日志:
◆連接時間日志:由多個程序執行,把記錄寫入到/var/log/wtmp和/var/run/utmp,login等程序更新wtmp和utmp文件,使系統管理員能夠跟蹤誰在何時登錄到系統。
◆進程統計:由系統內核執行。當一個進程終止時,為每個進程往進程統計文件(pacct或acct)中寫一個記錄。進程統計的目的是為系統中的基本服務提供命令使用統計。
◆錯誤日志:由syslogd(8)守護程序執行。各種系統守護進程、用戶程序和內核通過syslogd(3)守護程序向文件/var/log/messages報告值得注意的事件。另外有許多UNIX程序創建日志。像HTTP和FTP這樣提供網絡服務的服務器也保持詳細的日志。
◆實用程序日志:許多程序通過維護日志來反映系統的安全狀態。su命令允許用戶獲得另一個用戶的權限,所以它的安全很重要,它的文件為sulog。同樣的還有sudolog。另外,諸如Apache等Http的服務器都有兩個日志:access_log(客戶端訪問日志)以及error_log(服務出錯日志)。 FTP服務的日志記錄在xferlog文件當中,Linux下郵件傳送服務(sendmail)的日志一般存放在maillog文件當中。
utmp、wtmp日志文件是多數Linux日志子系統的關鍵,它保存了用戶登錄進入和退出的記錄。有關當前登錄用戶的信息記錄在文件utmp中;登錄進入和退出記錄在文件wtmp中;數據交換、關機以及重啟的機器信息也都記錄在wtmp文件中。所有的記錄都包含時間戳。時間戳對于日志來說非常重要,因為很多攻擊行為分析都與時間有極大的關系。這些文件在具有大量用戶的系統中增長十分迅速。例如wtmp文件可以無限增長,除非定期截取。許多系統以一天或者一周為單位把wtmp配置成循環使用。它通常由cron運行的腳本來修改。這些腳本重新命名并循環使用wtmp文件。通常,wtmp在第一天結束后命名為wtmp.1;第二天后wtmp.1變為wtmp.2等等,用戶可以根據實際情況來對這些文件進行命名和配置使用。
utmp文件被各種命令文件使用,包括who、w、users和finger。而wtmp文件被程序last和ac使用。
wtmp和utmp文件都是二進制文件,他們不能被諸如tail命令剪貼或合并(使用cat命令)。用戶需要使用who、w、users、last和ac來使用這兩個文件包含的信息。
新文章:
- CentOS7下圖形配置網絡的方法
- CentOS 7如何添加刪除用戶
- 如何解決centos7雙系統后丟失windows啟動項
- CentOS單網卡如何批量添加不同IP段
- CentOS下iconv命令的介紹
- Centos7 SSH密鑰登陸及密碼密鑰雙重驗證詳解
- CentOS 7.1添加刪除用戶的方法
- CentOS查找/掃描局域網打印機IP講解
- CentOS7使用hostapd實現無AP模式的詳解
- su命令不能切換root的解決方法
- 解決VMware下CentOS7網絡重啟出錯
- 解決Centos7雙系統后丟失windows啟動項
- CentOS下如何避免文件覆蓋
- CentOS7和CentOS6系統有什么不同呢
- Centos 6.6默認iptable規則詳解