欢迎各位的光临,鄙人以好酒好菜招待~~!!^_^

RedHat Linux常见的日志文件和常用命令

上一篇 / 下一篇 2006-07-23 10:58:22 / 天气: 晴朗 / 心情: 高兴

mx vii t/X'S0RedHat Linux常见的日志文件和常用命令
uY/tb4ygH Q0作者：linux宝库 (http://www.linuxmine.com)Linux宝库 `#PKQ"v5N9AQ

DiW2Lz4D,n$}0作者：刘志勇郭聪辉本文选自：飞思科技产品研发中心Linux宝库-sA%sDcps]^ o

　　成功地管理任何系统的关键之一，是要知道系统中正在发生什么事。Linux 中提供了异常日志，并且日志的细节是可配置的。Linux 日志都以明文形式存储，所以用户不需要特殊的工具就可以搜索和阅读它们。还可以编写脚本，来扫描这些日志，并基于它们的内容去自动执行某些功能。Linux 日志存储在 /var/log 目录中。这里有几个由系统维护的日志文件，但其他服务和程序也可能会把它们的日志放在这里。大多数日志只有root账户才可以读，不过修改文件的访问权限就可以让其他人可读。Linux宝库8faF+k^0}1Unm/|

hC$b ]U.G5T-lPo~0　　RedHat Linux常用的日志文件
(]? UA/H_gS0
w0_o|1aHB pG0　　RedHat Linux常见的日志文件详述如下Linux宝库5M~"p p"iq(U
　　/var/log/boot.logLinux宝库&v3O(h8o)UH2A v!Q$E$|
　　该文件记录了系统在引导过程中发生的事件，就是Linux系统开机自检过程显示的信息。Linux宝库;\rw)}KI0X
Linux宝库,ds#kRU
　　/var/log/cron
\e,]#b bZz6cW0　　该日志文件记录crontab守护进程crond所派生的子进程的动作，前面加上用户、登录时间和PID，以及派生出的进程的动作。CMD的一个动作是cron派生出一个调度进程的常见情况。REPLACE（替换）动作记录用户对它的cron文件的更新，该文件列出了要周期性执行的任务调度。 RELOAD动作在REPLACE动作后不久发生，这意味着cron注意到一个用户的cron文件被更新而cron需要把它重新装入内存。该文件可能会查到一些反常的情况。Linux宝库.t-I9S9}iL

XLiZUGVH0　　/var/log/maillogLinux宝库K Im2zu
　　该日志文件记录了每一个发送到系统或从系统发出的电子邮件的活动。它可以用来查看用户使用哪个系统发送工具或把数据发送到哪个系统。下面是该日志文件的片段：
1Wr/wj2icR3C.g0Linux宝库tQv/F,m;Gwj
QUOTE:
R1nZ#AJ9S0Sep 4 17:23:52 UNIX sendmail[1950]: g849Npp01950: from=root, size=25,Linux宝库\ B1JN6mI%n)G
class=0, nrcpts=1,Linux宝库Z9] x'I U#@9b!n#ld
msgid=<200209040923.g849Npp01950@redhat.pfcc.com.cn>,Linux宝库/q6[(vm5Ckx.{
relay=root@localhostLinux宝库aZWu&_VJ
Sep 4 17:23:55 UNIX sendmail[1950]: g849Npp01950: to=lzy@fcceec.net,
$r}l.W gZFTF0ctladdr=root (0/0), delay=00:00:04, xdelay=00:00:03, mailer=esmtp, pri=30025,Linux宝库 S)f-T:KSi;Q$F9A
relay=fcceec.net. [10.152.8.2], dsn=2.0.0, stat=Sent (Message queued)Linux宝库q&J%],u0GR2r
/var/log/messages
M0b-f A*uYf(G0{0Linux宝库,HO%n/JY,S
　　该日志文件是许多进程日志文件的汇总，从该文件可以看出任何入侵企图或成功的入侵。如以下几行：Linux宝库 R^8H&kL _T-~+@oI
Linux宝库+| K3Cbr z|0E&I
QUOTE:Linux宝库2or}jv)gw2^C$q

a7V-P2w n}6E)}(bQh@0Sep 3 08:30:17 UNIX login[1275]: FAILED LOGIN 2 FROM (null) FOR suying,
ON/mP'agvg'H0Authentication failure
{|M+Gv8DOY0Sep 4 17:40:28 UNIX -- suying[2017]: LOGIN ON pts/1 BY suying FROMLinux宝库 xJtODhWP
fcceec.www.ec8.pfcc.com.cn
-V+t?7J%HT0Sep 4 17:40:39 UNIX su(pam_unix)[2048]: session opened for user root by suying(uid=999)
I4W }%gTP0
!sKAG%}0Linux宝库7lU~}1u t
　　该文件的格式是每一行包含日期、主机名、程序名，后面是包含PID或内核标识的方括号、一个冒号和一个空格，最后是消息。该文件有一个不足，就是被记录的入侵企图和成功的入侵事件，被淹没在大量的正常进程的记录中。但该文件可以由/etc/syslog文件进行定制。由 /etc/syslog.conf配置文件决定系统如何写入/var/messages。有关如何配置/etc/syslog.conf文件决定系统日志记录的行为，将在后面详细叙述。
q7I2Lo6@dJ2M0Linux宝库,Uyq%L${0sI*h
　　/var/log/syslogLinux宝库_,i Wpr&];B
　　默认RedHat Linux不生成该日志文件，但可以配置/etc/syslog.conf让系统生成该日志文件。它和/etc/log/messages日志文件不同，它只记录警告信息，常常是系统出问题的信息，所以更应该关注该文件。要让系统生成该日志文件，在/etc/syslog.conf文件中加上： *.warning /var/log/syslog 　　该日志文件能记录当用户登录时login记录下的错误口令、Sendmail的问题、su命令执行失败等信息。下面是一条记录：
2} bld3N^'gU0Linux宝库;U|`_s
QUOTE:Linux宝库,hu.C(T+?2YA.S

8]g-cJ#Ch!?0Sep 6 16:47:52 UNIX login(pam_unix)[2384]: check pass; user unknown
&jW o5]R1A(_0/var/log/secure
&l0m0Ft3\0该日志文件记录与安全相关的信息。该日志文件的部分内容如下：Linux宝库 jT9f*X:V$[.Z

!HBO*yFIR0QUOTE:Linux宝库 T0C_{%hTu/uz
Sep 4 16:05:09 UNIX xinetd[711]: START: ftp pid=1815 from=127.0.0.1
/cR|uT)k_!O|w]4L/I0Sep 4 16:05:09 UNIX xinetd[1815]: USERID: ftp OTHER :root
~5b7q}~J|N0Sep 4 16:07:24 UNIX xinetd[711]: EXIT: ftp pid=1815 duration=135(sec)
*j*e A8j,z0Sep 4 16:10:05 UNIX xinetd[711]: START: ftp pid=1846 from=127.0.0.1Linux宝库'R R(tk B#k5E9^
Sep 4 16:10:05 UNIX xinetd[1846]: USERID: ftp OTHER :root
Eb4\WE3r:M(L0Sep 4 16:16:26 UNIX xinetd[711]: EXIT: ftp pid=1846 duration=381(sec)
$w3jA;G$o}Ub-G0Sep 4 17:40:20 UNIX xinetd[711]: START: telnet pid=2016 from=10.152.8.2
Wd-]0j'u\ _4cH#zP0/var/log/lastlogLinux宝库*`*vJ?dXHC8]

P xi?'@K)L#_0Linux宝库hE"d3er)FQi

%^+H]5H,\iy,X0　　该日志文件记录最近成功登录的事件和最后一次不成功的登录事件，由login生成。在每次用户登录时被查询，该文件是二进制文件，需要使用 lastlog命令查看，根据UID排序显示登录名、端口号和上次登录时间。如果某用户从来没有登录过，就显示为"**Never logged in**"。该命令只能以root权限执行。简单地输入lastlog命令后就会看到类似如下的信息：
1`b7b_2xQ0Linux宝库 ICHWpt'ld
QUOTE:Linux宝库%@W)F!n+X k5kG
Username Port From Latest
4R#e-m2V|aViT0root tty2 Tue Sep 3 08:32:27 +0800 2002
+U'b6c\iVW0bin **Never logged in**Linux宝库%N}d(p;R(AN j~
daemon **Never logged in**
vs4j I.N)PN`)G0adm **Never logged in**
o5y1Al%Dv XOX0lp **Never logged in**Linux宝库]3J6eD4InsM-d8~
sync **Never logged in**
UO3mq1J0shutdown **Never logged in**Linux宝库0zL;E9`Vj'[e
halt **Never logged in**
.u]5jic4l ]x0mail **Never logged in**
4K+R9t8r:A#W|6c0news **Never logged in**Linux宝库*Tf8x{)F;wq
uucp **Never logged in**
ar0_c;r7{:EYS6s0operator **Never logged in**Linux宝库4`(YBy[O1e8d+Zy
games **Never logged in**
!M#^W|v ]0gopher **Never logged in**Linux宝库tB K(i&S V1V
ftp ftp UNIX Tue Sep 3 14:49:04 +0800 2002Linux宝库k:w({&mM rMD!^2?[
nobody **Never logged in**
V`E E5{ Sr0Yr0nscd **Never logged in**Linux宝库 x:M5Cg:G&Y+DX
mailnull **Never logged in**Linux宝库0uO2M\YB
ident **Never logged in**
v7m'D~)zbh*T1[l0rpc **Never logged in**Linux宝库#{$tQ)W{;Hlq{+t
rpcuser **Never logged in**
Q)j\ ty5SBFE0xfs **Never logged in**
;S:t qk3p6l7Rgd0gdm **Never logged in**Linux宝库!cF9Y+ux&Xy9}
postgres **Never logged in**Linux宝库+{4F@)HfL*AA{
apache **Never logged in**
t5Cn/_5C6r0lzy tty2 Mon Jul 15 08:50:37 +0800 2002Linux宝库-y4s/|:Vd
suying tty2 Tue Sep 3 08:31:17 +0800 2002
lnY)x1Hi3j2wYQ#sZ0
$pjJz3]*q+D'\0Linux宝库4E3[8n]w3HO5OV
　　系统账户诸如bin、daemon、adm、uucp、mail等决不应该登录，如果发现这些账户已经登录，就说明系统可能已经被入侵了。若发现记录的时间不是用户上次登录的时间，则说明该用户的账户已经泄密了。
$Eh6MR;U7m@0
z x~5Y!A7w^0　　/var/log/wtmpLinux宝库3Z&d~uxF%U u n|

~+] k C7h0　　该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件。因此随着系统正常运行时间的增加，该文件的大小也会越来越大，增加的速度取决于系统用户登录的次数。该日志文件可以用来查看用户的登录记录，last命令就通过访问这个文件获得这些信息，并以反序从后向前显示用户的登录记录，last也能根据用户、终端 tty或时间显示相应的记录。
x qGqoH!v0Linux宝库2D b0t)Y^8V
　　命令last有两个可选参数：
]:A!zH-N(m0
'gN2kQnq2@0　　last -u 用户名显示用户上次登录的情况。Linux宝库\*RU:t y

5Q)M(t3i@S o!_0　　last -t 天数显示指定天数之前的用户登录情况。Linux宝库? V_ DrI1cS#wZf

&AnD B#z&Kh0　　/var/run/utmp
:p-e;r8|T+I6|J0z0Linux宝库&bm"m6Fg"i(F}
　　该日志文件记录有关当前登录的每个用户的信息。因此这个文件会随着用户登录和注销系统而不断变化，它只保留当时联机的用户记录，不会为用户保留永久的记录。系统中需要查询当前用户状态的程序，如 who、w、users、finger等就需要访问这个文件。该日志文件并不能包括所有精确的信息，因为某些突发错误会终止用户登录会话，而系统没有及时更新 utmp记录，因此该日志文件的记录不是百分之百值得信赖的。
C~g*N1{JwT0
f3~/~ Q {uW z-s0　　以上提及的3个文件（/var/log/wtmp、/var/run/utmp、/var/log/lastlog）是日志子系统的关键文件，都记录了用户登录的情况。这些文件的所有记录都包含了时间戳。这些文件是按二进制保存的，故不能用less、cat之类的命令直接查看这些文件，而是需要使用相关命令通过这些文件而查看。其中，utmp和wtmp文件的数据结构是一样的，而lastlog文件则使用另外的数据结构，关于它们的具体的数据结构可以使用man命令查询。
~M Y]B\ G-s0Linux宝库!Ts~^%{P&@d?
　　每次有一个用户登录时，login程序在文件lastlog中查看用户的UID。如果存在，则把用户上次登录、注销时间和主机名写到标准输出中，然后 login程序在lastlog中记录新的登录时间，打开utmp文件并插入用户的utmp记录。该记录一直用到用户登录退出时删除。utmp文件被各种命令使用，包括who、w、users和finger。
,Xf^,PUd$r0Linux宝库(or\ VVX
　　下一步，login程序打开文件wtmp附加用户的utmp记录。当用户登录退出时，具有更新时间戳的同一utmp记录附加到文件中。wtmp文件被程序last使用。Linux宝库 op'LE8A
Linux宝库@;U~ X*DX(\
　　/var/log/xferlogLinux宝库v%k*]D C,bxq
Linux宝库*h:W5Nv} ]Q
　　该日志文件记录FTP会话，可以显示出用户向FTP服务器或从服务器拷贝了什么文件。该文件会显示用户拷贝到服务器上的用来入侵服务器的恶意程序，以及该用户拷贝了哪些文件供他使用。
!NXnF%Sg0Linux宝库Lhx3zz3Vx
　　该文件的格式为：第一个域是日期和时间，第二个域是下载文件所花费的秒数、远程系统名称、文件大小、本地路径名、传输类型（a：ASCII，b：二进制）、与压缩相关的标志或tar，或"_"（如果没有压缩的话）、传输方向（相对于服务器而言：i代表进，o代表出）、访问模式（a：匿名，g：输入口令，r：真实用户）、用户名、服务名（通常是ftp）、认证方法（l：RFC931，或0），认证用户的ID或"*"。下面是该文件的一条记录：
~J?3t$E7nf$D0
.ST U8R*qzWj.t| R0QUOTE:Linux宝库Zja-H![?
Linux宝库$P1Qj!h,G$z
Wed Sep 4 08:14:03 2002 1 UNIX 275531
@U ^2aaOF0/var/ftp/lib/libnss_files-2.2.2.so b _ o a -root@UNIX ftp 0 * cLinux宝库9|*`#Q;vS
/var/log/kernlogLinux宝库G/]8SG{0W
Linux宝库2W]'?i{+IS.Wa-d

%z!}By#g Hm@0Linux宝库P/Yh8iHU8NN;PK*a
　　　RedHat Linux默认没有记录该日志文件。要启用该日志文件，必须在/etc/syslog.conf文件中添加一行：kern.* /var/log/kernlog 。这样就启用了向/var/log/kernlog文件中记录所有内核消息的功能。该文件记录了系统启动时加载设备或使用设备的情况。一般是正常的操作，但如果记录了没有授权的用户进行的这些操作，就要注意，因为有可能这就是恶意用户的行为。下面是该文件的部分内容：Linux宝库4Q0]7mZ#k#bu

+S;@9|&z:P:^I#[7U0QUOTE:
jP lbc!?&j0Sep 5 09:38:42 UNIX kernel: NET4: Linux TCP/IP 1.0 for NET4.0
*bitM%E+V/_?2ha#P'|0Sep 5 09:38:42 UNIX kernel: IP Protocols: ICMP, UDP, TCP, IGMP
sV/YD#NY`r,R0Sep 5 09:38:42 UNIX kernel: IP: routing cache hash table of 512 buckets, 4Kbytes
T*X NeA0Sep 5 09:38:43 UNIX kernel: TCP: Hash tables configured (established 4096 bind 4096)Linux宝库;GP4lIB2L&b_'G
Sep 5 09:38:43 UNIX kernel: Linux IP multicast router 0.06 plus PIM-SMLinux宝库L!V-Ee5mJ?2\
Sep 5 09:38:43 UNIX kernel: NET4: Unix domain sockets 1.0/SMP for Linux NET4.0.Linux宝库Ilb1f@;_ hr}\
Sep 5 09:38:44 UNIX kernel: EXT2-fs warning: checktime reached, running e2fsck is recommendedLinux宝库4D`f~lh
Sep 5 09:38:44 UNIX kernel: VFS: Mounted root (ext2 filesystem).Linux宝库,Q6q6~"CH\xy
Sep 5 09:38:44 UNIX kernel: SCSI subsystem driver Revision: 1.00Linux宝库Re%h m4d,ca
/var/log/Xfree86.x.logLinux宝库4G| ^AJ

;w.d&sz2_7v${YL0Linux宝库DetiC HH}
Linux宝库n l]G+\rH$M.z
　　该日志文件记录了X-Window启动的情况。另外，除了/var/log/外，恶意用户也可能在别的地方留下痕迹，应该注意以下几个地方：root 和其他账户的shell历史文件；用户的各种邮箱，如.sent、mbox，以及存放在/var/spool/mail/ 和 /var/spool/mqueue中的邮箱；临时文件/tmp、/usr/tmp、/var/tmp；隐藏的目录；其他恶意用户创建的文件，通常是以 "."开头的具有隐藏属性的文件等。Linux宝库A\&r9a&q1|n~

.B)];x|J*U2B0　　具体命令
']l#y'ii0Linux宝库6b%b*L$w4TkL&TE
　　wtmp和utmp文件都是二进制文件，它们不能被诸如tail之类的命令剪贴或合并（使用cat命令）。用户需要使用who、w、users、last和ac等命令来使用这两个文件包含的信息。
8L(o2R#z8`qhM0Linux宝库$B2y[fyE5r
　　who命令Linux宝库/a&S+s4V:I)a
Linux宝库\6yK*V;zen.P8U
　　who命令查询utmp文件并报告当前登录的每个用户。who的默认输出包括用户名、终端类型、登录日期及远程主机。例如，键入who命令，然后按回车键，将显示如下内容：Linux宝库&jb B*gWf8Si*L
Linux宝库n*W6gv`+w? OR
QUOTE:Linux宝库P{u)u-p|oL8V#kY
chyang pts/0 Aug 18 15:06Linux宝库 K7dECj
ynguo pts/2 Aug 18 15:32
#H_4EN9p%H$z0ynguo pts/3 Aug 18 13:55
+]go$J| c(E5]0lewis pts/4 Aug 18 13:35
:_c2Y?*},m9j0ynguo pts/7 Aug 18 14:12
IUj"K `.e0ylou pts/8 Aug 18 14:15Linux宝库:K[5Xz7B-Z+ic
Linux宝库KV-kEYh"J
　　如果指明了wtmp文件名，则who命令查询所有以前的记录。命令who /var/log/wtmp将报告自从wtmp文件创建或删改以来的每一次登录。
"|:l fO!R$~{6}I0
)Z9X,QD*X&C0　　w命令Linux宝库 x#H2B;bbd{9E
Linux宝库VEB\*OJA Gk4E
　　w命令查询utmp文件并显示当前系统中每个用户和它所运行的进程信息。例如，键入w命令，然后按回车键，将显示如下内容：
/e;wV$lt0
7`D5L8PlXF0QUOTE:Linux宝库7b OuM[Jg
Linux宝库qE$A!z8bj
3:36pm up 1 day, 22:34, 6 users, load average: 0.23, 0.29, 0.27Linux宝库iyl-a TX(ebhH
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
U/uj0c6t_"S-_yb0chyang pts/0 202.38.68.242 3:06pm 2:04 0.08s 0.04s -bashLinux宝库-`"Z {edIth${ JTN
ynguo pts/2 202.38.79.47 3:32pm 0.00s 0.14s 0.05 w
.O2o#Ozj)?h]?.MvT0lewis pts/3 202.38.64.233 1:55pm 30:39 0.27s 0.22s -bash
o\2e"c2X%dt(}0lewis pts/4 202.38.64.233 1:35pm 6.00s 4.03s 0.01s sh /home/users/
!|J r5Y!y^gk#x N0ynguo pts/7 simba.nic.ustc.e 2:12pm 0.00s 0.47s 0.24s telnet mail
\+M7MG-]ug)~D0ylou pts/8 202.38.64.235 2:15pm 1:09m 0.10s 0.04s -bashLinux宝库,W$H)w(A\sFK
　　users命令
N:|f?(q9a`]J`&V{0Linux宝库XFq&i8h:Hw
　　users命令用单独的一行打印出当前登录的用户，每个显示的用户名对应一个登录会话。如果一个用户有不止一个登录会话，那他的用户名将显示相同的次数。例如，键入users命令，然后按回车键，将显示如下内容：
w'LW%H,k DT/Aw0Linux宝库HkgT.Jp{4G+E2i
QUOTE:
W!ObM"?;mJkW0　　chyang lewis lewis ylou ynguo ynguoLinux宝库5a)}2C+Ue5|
　　last命令Linux宝库TaP$|W;[+Ms

$jCo Y/`-K!oal0　　last命令往回搜索wtmp来显示自从文件第一次创建以来登录过的用户。例如：
's#k(E)iLe@0Linux宝库\$yMs*?+O1r2s
QUOTE:Linux宝库7rDAQBOI[

Q K0nP8xz3n0chyang pts/9 202.38.68.242 Tue Aug 1 08:34 - 11:23 (02:49)Linux宝库@@2a7Q+qP/O0k@@[
cfan pts/6 202.38.64.224 Tue Aug 1 08:33 - 08:48 (00:14)
#Z@-H(yn$@0chyang pts/4 202.38.68.242 Tue Aug 1 08:32 - 12:13 (03:40)Linux宝库*D7K|/ae3t5\
lewis pts/3 202.38.64.233 Tue Aug 1 08:06 - 11:09 (03:03)Linux宝库u'bp2F`,}!X
lewis pts/2 202.38.64.233 Tue Aug 1 07:56 - 11:09 (03:12)Linux宝库lqO eS3jvs

7_ ^+tD*t J/ZL6x0　　如果指明了用户，那么last只报告该用户的近期活动，例如，键入last ynguo命令，然后按回车键，将显示如下内容：
8e/Z6u/u }&SP0
Lg!vJvR0QUOTE:
z(nvb'AwI0
L~zp zXk5zM#w0ynguo pts/4 simba.nic.ustc.e Fri Aug 4 16:50 - 08:20 (15:30)
f;D t;^)] m/MTL*q0ynguo pts/4 simba.nic.ustc.e Thu Aug 3 23:55 - 04:40 (04:44)Linux宝库OiMK:k3L0\
ynguo pts/11 simba.nic.ustc.e Thu Aug 3 20:45 - 22:02 (01:16)Linux宝库5W e)Q5D[#l)H^
ynguo pts/0 simba.nic.ustc.e Thu Aug 3 03:17 - 05:42 (02:25)
/UMn/q!V!h0ynguo pts/0 simba.nic.ustc.e Wed Aug 2 01:04 - 03:16 1+02:12)Linux宝库 L)L0|Ntca#{"G!CCi
ynguo pts/0 simba.nic.ustc.e Wed Aug 2 00:43 - 00:54 (00:11)Linux宝库qt"{}]
ynguo pts/9 simba.nic.ustc.e Thu Aug 1 20:30 - 21:26 (00:55)
*Z:hAu(a%M0
R)I*f:G&Z9K)f0　　ac命令Linux宝库\+e.Z ^8_9pIS Us

l}`1v6e0　　ac命令根据当前的/var/log/wtmp文件中的登录进入和退出来报告用户连接的时间（小时），如果不使用标志，则报告总的时间。例如，键入ac命令，然后按回车键，将显示如下内容：
B9nG8`m8TuR0Linux宝库U }%N6PeLMa/S
QUOTE:Linux宝库C%SI)Dx;Fo$_X6C
　　total 5177.47Linux宝库F*} L.{yFZ
键入ac -d命令，然后按回车键，将显示每天的总的连接时间：Linux宝库(BU"EOTs{-T5GB
Linux宝库\t*Xv%\k%z)p[
QUOTE:Linux宝库cg0wX!m|%Y1AX k

qj,T2jlE_7p0Aug 12 total 261.87Linux宝库x8Yy0_P.uZr
Aug 13 total 351.39Linux宝库0a-hBG,w~!Bq
Aug 14 total 396.09
%]C:fRvEa0Aug 15 total 462.63
.} Pp6I*Z'V} L|0Aug 16 total 270.45Linux宝库Bm,G _~l8xN$U(x[
Aug 17 total 104.29
R"D|.N3~?'Fb0Today total 179.02
Z"w;E a:U {0
br,ALYIfCj Q;s0　　键入ac -p命令，然后按回车键，将显示每个用户的总的连接时间：Linux宝库&Jv,|-\gMC
Linux宝库k[J,iw$p}
QUOTE:Linux宝库-inOY9h&~wA

$U{.A!fSK4Q0^4^0ynguo 193.23Linux宝库I*]'G9P(QA9~
yucao 3.35
R)r:A6J;jr&J)jh0rong 133.40
l.H@@Wx7}0hdai 10.52Linux宝库CH KZ'NM3i
zjzhu 52.87
ZU,M?J*K3r)T(Ym0zqzhou 13.14
AO'`E3hE0liangliu 24.34
3~,U%D&Sg"a^w0total 5178.24
3WjH7Z(q*yC`]0
BdG#y ~{VP(H0　　lastlog命令Linux宝库+G/HY0v$\/k:^4u

~7L C"RB {0　　lastlog文件在每次有用户登录时被查询。可以使用lastlog命令检查某特定用户上次登录的时间，并格式化输出上次登录日志 /var/log/lastlog的内容。它根据UID排序显示登录名、端口号（tty）和上次登录时间。如果一个用户从未登录过，lastlog显示 **Never logged**。注意需要以root身份运行该命令，例如：Linux宝库E`t"~6BC5T(I

r#j1Y#} X"r8\ob.V3V8o0QUOTE:
/?6^%UfpL;}^2Y,l0Linux宝库.[-{c:^T+I
rong 5 202.38.64.187 Fri Aug 18 15:57:01 +0800 2000Linux宝库F5s|)d#M`w
dbb **Never logged in**Linux宝库s7O'FDVk_ `
xinchen **Never logged in**Linux宝库1Uhr8P8D*E1qm1]4F.p
pb9511 **Never logged in**
i L xU*~"i1v#H0xchen 0 202.38.64.190 Sun Aug 13 10:01:22 +0800 2000Linux宝库-X/T"i7s4X~
Linux宝库*pYg4KD?
另外，可加一些参数，例如，"last -u 102"命令将报告UID为102的用户；"last -t 7"命令表示限制为上一周的报告。Linux宝库k3b8t"lO
Linux宝库sdx!Z:Vl
　　进程统计Linux宝库;LfR(WKM

`!jT+au5S O0　　UNIX可以跟踪每个用户运行的每条命令，如果想知道昨晚弄乱了哪些重要的文件，进程统计子系统可以告诉你。它还对跟踪一个侵入者有帮助。与连接时间日志不同，进程统计子系统默认不激活，它必须启动。在Linux系统中启动进程统计使用accton命令，必须用root身份来运行。accton命令的形式为：accton file，file必须事先存在。先使用touch命令创建pacct文件：touch /var/log/pacct，然后运行accton：accton /var/log/pacct。一旦accton被激活，就可以使用lastcomm命令监测系统中任何时候执行的命令。若要关闭统计，可以使用不带任何参数的accton命令。
#d,y)~7of6d8Y F!X m(|[Y0
s7](|w!Stn&Y-oT0　　lastcomm命令报告以前执行的文件。不带参数时，lastcomm命令显示当前统计文件生命周期内记录的所有命令的有关信息。包括命令名、用户、tty、命令花费的CPU时间和一个时间戳。如果系统有许多用户，输入则可能很长。看下面的例子：Linux宝库'WA k4o*P
Linux宝库?x#Z*P9{Rf0o
QUOTE:
.m*dKri9_j*kN+D'l.d;Z%t!u0Linux宝库hps3tX.QN0{
crond F root ?? 0.00 secs Sun Aug 20 00:16
\&oKxeh0DB0promisc_check.s S root ?? 0.04 secs Sun Aug 20 00:16Linux宝库9vB`g o Ct:\Xj
promisc_check root ?? 0.01 secs Sun Aug 20 00:16Linux宝库+qlq }R GO
grep root ?? 0.02 secs Sun Aug 20 00:16
E:YcD0j0tail root ?? 0.01 secs Sun Aug 20 00:16Linux宝库)b2[T8CMO8r/g
sh root ?? 0.01 secs Sun Aug 20 00:15Linux宝库%ruA hT]9^7E
ping S root ?? 0.01 secs Sun Aug 20 00:15
v)\(|~2A P0z+qk0ping6.pl F root ?? 0.01 secs Sun Aug 20 00:15
|S zqI"t{6c0sh root ?? 0.01 secs Sun Aug 20 00:15
i,q/Uj0tf8T0ping S root ?? 0.02 secs Sun Aug 20 00:15Linux宝库u9I(^!nS VA
ping6.pl F root ?? 0.02 secs Sun Aug 20 00:15
*YvR$s {4Lf|,A0sh root ?? 0.02 secs Sun Aug 20 00:15Linux宝库J#St,T%E
ping S root ?? 0.00 secs Sun Aug 20 00:15
~1rQ5Vf:^0ping6.pl F root ?? 0.01 secs Sun Aug 20 00:15Linux宝库+U.\+y$}4|
sh root ?? 0.01 secs Sun Aug 20 00:15
N.V9J:gpNVs0ping S root ?? 0.01 secs Sun Aug 20 00:15Linux宝库vCY6ZG(_n-|
sh root ?? 0.02 secs Sun Aug 20 00:15Linux宝库z*F:Np*LxRk
ping S root ?? 1.34 secs Sun Aug 20 00:15Linux宝库,p@Fg7~z.W3S@O X
locate root ttyp0 1.34 secs Sun Aug 20 00:15
!Kqqhu)I0accton S root ttyp0 0.00 secs Sun Aug 20 00:15Linux宝库$aTY.~5?v;s

8wHx*^[#^.G0　　进程统计的一个问题是pacct文件可能增长得十分迅速。这时需要交互式地或经过cron机制运行sa命令来保证日志数据在系统控制内。sa命令报告、清理并维护进程统计文件。它能把/var/log/pacct中的信息压缩到摘要文件/var/log/savacct和 /var/log/usracct中。这些摘要包含按命令名和用户名分类的系统统计数据。在默认情况下sa先读它们，然后读pacct文件，使报告能包含所有的可用信息。sa的输出有下面一些标记项。
/}&}l$um%R(E0
C7u2o*E J],C0
DJ3e:q+r#^G?0U0avio：每次执行的平均I/O操作次数。
4y ?'}hX2? U;S9o,y$T0
2h3b T`,o)uR;}de"`0cp：用户和系统时间总和，以分钟计。
Qf"mt5j|U0Linux宝库i fl(P'N(U(Cg!I
cpu：和cp一样。
1X"J(E.I+WsY0
-M-}#vLM;v0k：内核使用的平均CPU时间，以1k为单位。Linux宝库!jvg#s/BN^v
Linux宝库]ct&MG:x&G
k*sec：CPU存储完整性，以1k-core秒为单位。
C(ZYl;`,C K y'p.pl0
6UW!My4I)bM1X w0re：实时时间，以分钟计。Linux宝库/z8WF8YtH-BG

"}.gvD)_0s：系统时间，以分钟计。Linux宝库5hk3]4G VX

X5us:DC0^rSf0tio：I/O操作的总数。
B5?2t^vb4q5s0Linux宝库7jOL:~j3u%fW6B7N
u：用户时间，以分钟计。Linux宝库G"A'og0XPHh&s
Linux宝库xC(Lp6g S
例如：Linux宝库W}QMXbX w/W

3d)Jlu;fP Tu`0QUOTE:Linux宝库;cE\%@Lo E8i1e$@D
Linux宝库F8F(Zo"KdO
842 173.26re 4.30cp 0avio 358k
3}(I1E8A|R#[C02 10.98re 4.06cp 0avio 299k find
!z-x*bkl:NX09 24.80re 0.05cp 0avio 291k ***other
&{3g"O!@0x.k6U0105 30.44re 0.03cp 0avio 302k ping
^3TD9n|U#{N0104 30.55re 0.03cp 0avio 394k shLinux宝库X-q6M6wf:C
162 0.11re 0.03cp 0avio 413k security.sh*
BK$Z&m@g^`9d(s[0154 0.03re 0.02cp 0avio 273k lsLinux宝库 x8f`y8jq
56 31.61re 0.02cp 0avio 823k ping6.pl*
k5S:X5F(J ?t)NP%{ ~02 3.23re 0.02cp 0avio 822k ping6.pl
;H/LN D6a%E(i.N035 0.02re 0.01cp 0avio 257k md5sumLinux宝库V)qJP%c0k
97 0.02re 0.01cp 0avio 263k initlog
u7fG"vEZ`012 0.19re 0.01cp 0avio 399k promisc_check.sLinux宝库+E:w8UK H|4bt0u+I
15 0.09re 0.00cp 0avio 288k grep
$Ij&f6Y+Fcv011 0.08re 0.00cp 0avio 332k awk
HB JT7f8X8v0Linux宝库w"cB.~:P6Q c
用户还可以根据用户而不是命令来提供一个摘要报告。例如，键入命令"sa -m"，将显示如下内容：
G?6f anu7Z0Linux宝库r P~!d9N
QUOTE:
losu/jVb0
&b?L3w_1Ne'^%z#@0885 173.28re 4.31cp 0avkLinux宝库2VrM9m?au-b
root 879 173.23re 4.31cp 0avkLinux宝库"_srE+P
alias 3 0.05re 0.00cp 0avkLinux宝库~~$}*U-r+a5w.MwBD
qmailp 3 0.01re 0.00cp 0avkLinux宝库m9W(DSc%_ZS

\/Moz:R"m&@d6C0　　syslog设备
{ qYvj\l(jN0Linux宝库 V'Z5BqW\sN*o0Qa{M
　　syslog已被许多日志函数采纳，它用在许多保护措施中。任何程序都可以通过syslog 记录事件。syslog可以记录系统事件，可以写到一个文件或设备中，或给用户发送一个信息。它能记录本地事件或通过网络记录另一个主机上的事件。
S%Rt8g$^-p{0Linux宝库n{!`*g7Q}0M
　　syslog设备依据两个重要的文件：/etc/syslogd（守护进程）和/etc/syslog.conf配置文件。习惯上，多数syslog 信息被写到/var/adm或/var/log目录下的信息文件中（messages.*）。一个典型的syslog记录包括生成程序的名字和一个文本信息。它还包括一个设备和一个优先级范围（但不在日志中出现）。Linux宝库!~1au@9b^:}T

V^,G9V:o[0每个syslog消息被赋予下面的主要设备之一：Linux宝库5i8GS$c)y}~SD%T!^

5_F3ZGbVXP0QUOTE:
LU6p6~3vh&sqw0Linux宝库y+P's(F6x
LOG_AUTH：认证系统login、su、getty等。
KM.?!h7k-l0LOG_AUTHPRIV：同LOG_AUTH，但只登录到所选择的单个用户可读的文件中。
s0?H'yz4j7? f5W0LOG_CRON：cron守护进程。Linux宝库'e pdz%}
LOG_DAEMON：其他系统守护进程，如routed。Linux宝库)F7vJ!|I-KQ]i8Z
LOG_FTP：文件传输协议ftpd、tftpd。
6Y U`7i"Uq;F0LOG_KERN：内核产生的消息。
5E`4[;|J%UDF`a0LOG_LPR：系统打印机缓冲池lpr、lpd。Linux宝库L!^&|nzikq?
LOG_MAIL：电子邮件系统。
#h(C:y}:|D0LOG_NEWS：网络新闻系统。Linux宝库(h)^3| m2d
LOG_SYSLOG：由syslogd（8）产生的内部消息。
Bt(?uD%@N2_ C0LOG_USER：随机用户进程产生的消息。
K$W%hsW{0LOG_UUCP：UUCP子系统。Linux宝库8u;tM&E3Y2C AA%g e
LOG_LOCAL0~LOG_LOCAL7：为本地使用保留。Linux宝库"LM)edc0X(H}
syslog为每个事件赋予几个不同的优先级：
Y%gd{4o0LOG_EMERG：紧急情况。Linux宝库M Z6|+UFMN$l7E zg
LOG_ALERT：应该被立即改正的问题，如系统数据库被破坏。
jciN$CYl0LOG_CRIT：重要情况，如硬盘错误。
`e3u@"U#K2dy0LOG_ERR：错误。
Q-Fv&L},`9m0LOG_WARNING：警告信息。
Zl`&w&R:clf0LOG_NOTICE：不是错误情况，但是可能需要处理。Linux宝库5L:}T.uY f3l~
LOG_INFO：情报信息。
2G s.X6h&J]Ih/D0LOG_DEBUG：包含情报的信息，通常只在调试一个程序时使用。Linux宝库awuY CV3z4O%l

,U2l1x \mB@u0　　syslog.conf文件指明syslogd程序记录日志的行为，该程序在启动时查询配置文件。该文件由不同程序或消息分类的单个条目组成，每个占一行。对每类消息提供一个选择域和一个动作域。这些域由tab符隔开：选择域指明消息的类型和优先级；动作域指明syslogd接收到一个与选择标准相匹配的消息时所执行的动作。每个选项是由设备和优先级组成的。当指明一个优先级时，syslogd将记录一个拥有相同或更高优先级的消息。所以如果指明 "crit"，那所有标为crit、alert和emerg的消息将被记录。每行的行动域指明当选择域选择了一个给定消息后应该把它发送到哪儿。例如，如果想把所有邮件消息记录到一个文件中，如下所示：Linux宝库+XWQ T|K4Q.GW
Linux宝库C`FS.Wy.O
QUOTE:Linux宝库_,GEn ^!n
Linux宝库$J(H9yJ%qhlr&X
#Log all the mail messages in one place
.ru1H)w%B7N]:l+n0Linux宝库GdxO3F/KC@8| ^
Linux宝库%}'rp&c+K[
mail.* /var/log/maillogLinux宝库1D Tj'@"II

1w!^W!C a0
Pk!i_P`0Linux宝库\n,o;Z"ny[]Q
　　其他设备也有自己的日志。UUCP和news设备能产生许多外部消息。它把这些消息存到自己的日志（/var/log/spooler）中并把级别限为"err"或更高。例如：Linux宝库I,O{"hq0jp/n
Linux宝库 jr u^1f&y e
QUOTE:Linux宝库U8[^2h-_5C0]

^']Tzj"u _0# Save mail and news errors of level err and higher in aspecial file.
5r_^'{v e^R3[0uucp,news.crit /var/log/spoolerLinux宝库#_&}dw?2f

(WM,rG/t \/pH2j e(H0　　当一个紧急消息到来时，可能想让所有的用户都得到，也可能想让自己的日志接收并保存：Linux宝库a5Nf6r7pgy Z

(EI}"s [zc%Y0QUOTE:
kF z8W }jvV2g;a0
?"lWR3RNa{3}0#Everybody gets emergency messages， plus log them on anther machineLinux宝库&m!F,sh2ByJA!^1`
*.emerg *
d OKga,g9N0*.emerg @linuxaid.com.cnLinux宝库)F'c)k)?OnN$d;K7`.k R
　　alert消息应该写到root和tiger的个人账号中：Linux宝库4cQx!nr

'qa'PF]L ^R0QUOTE:
l*ztsZq7yp(VK0
^%e#URAA.Vs0#Root and Tiger get alert and higher messages
nI!|9o*^*Vuaz0*.alert root,tigerLinux宝库e)y]&a'u0yBr
　　有时syslogd将产生大量的消息。例如，内核（"kernel"设备）可能很冗长。用户可能想把内核消息记录到/dev/console中。下面的例子表明内核日志记录被注释掉了：Linux宝库XaD6[[J!nP:uj
Linux宝库/V3U4DUqC6A~
QUOTE:
|}I bn+? v0
*y.K/~t9I&uE)?"{V0#Log all kernel messages to the console
&Qz&~sL? N!g0#Logging much else clutters up the screenLinux宝库l;wDoB;Q ct
#kern.* /dev/console
J/}8V)K_ j0　　用户可以在一行中指明所有的设备。下面的例子把info或更高级别的消息送到/var/log/messages，除了mail以外。级别"none"禁止一个设备：
*{Vr6@S0Linux宝库O5L^-KuO%Th
QUOTE:Linux宝库wscpjg$_K.`-J(q
Linux宝库.b2U3^3VIUthU
#Log anything（except mail）of level info or higherLinux宝库{hajl$mLG
#Don't log private authentication messages!
+|(o/G,^{5w3J6j0*.info:mail.none;authpriv.none /var/log/messagesLinux宝库Y0er&\[d pq
Linux宝库N cwP!vuvt
　　在有些情况下，可以把日志送到打印机，这样网络入侵者怎么修改日志就都没有用了。通常要广泛记录日志。syslog设备是一个攻击者的显著目标。一个为其他主机维护日志的系统对于防范服务器攻击特别脆弱，因此要特别注意。Linux宝库u:n"A]$mh

K[4z5` j'dV-CJ9f0有个小命令logger为syslog（3）系统日志文件提供一个shell命令接口，使用户能创建日志文件中的条目。
D(P"b ZGO&A0
o3y_YCL0Linux宝库E f@/bF:~W
　　用法：logger　
,It-n0U\ ET0Linux宝库Cu[7p.LK
　　例如：logger This is a test！Linux宝库1I(kw9qgThrF
Linux宝库V(e(c7{'w8h Ez kd*`
　　它将产生一个如下的syslog记录：Aug 19 22:22:34 tiger: This is a test!
?/nJ5Ks0
!a9Y2Tjk d0　　注意，不要完全相信日志，因为攻击者很容易修改它的。
4sct,oc0a|p:g0
m:g{&k`l#i~7_X0　　程序日志与其他Linux宝库b"L;Z4aK1N
Linux宝库,g!kEL$kY[S
　　许多程序通过维护日志来反映系统的安全状态。su命令允许用户获得另一个用户的权限，所以它的安全很重要，它的日志文件为sulog。同样的还有 sudolog。另外，像Apache有两个日志：access_log和error_log。还有一些常用到的其他日志工具，我们就不一一阐述了，有兴趣的读者可以参考下边网址的内容。
+Ppa,rRJActy0p0
V%K!|8V"j-G2Uv^o0QUOTE:
)gl%|@*z7Qs |l0Chklastlog：Linux宝库La g.d P sA&l
Linux宝库\6S3~(h(}7qQ{2f
ftp://coast.cs.purdue.edu/pub/tools/unix/chklastlog/
K!~aJV~)Q^0
%Wedn1Y%[|O)_0chkwtmp：Linux宝库DzEKz
Linux宝库WC7^b%}BDL
ftp://coast.cs.purdue.edu/pub/tools/unix/chkwtmp/
,b,p4c N8X {3{6[0Linux宝库OX6~e4bj6S?|Op
dump_lastlog：Linux宝库f9^u5]&Lkv

/~5iz%Z2m0ftp://coast.cs.purdue.edu/pub/tools/unix/dump_lastlog.Z
7S~y%}&?av0
r(nb#mc0spar：
x#[\1KG1Hlr0Linux宝库~p}LhD
ftp://coast.cs.purdue.edu/pub/tools/unix/TAMU/
hDZ7Z+X8q*O,M']0
A ^R%Mjw#Rp0Swatch：Linux宝库o-wu|[,["k
Linux宝库W%Bi&n/d~,R;A
http://www.lomar.org/komar/alek/pres/swatch/cover.htmlLinux宝库S @9a3lO&\!D*C c)L
Linux宝库q"U-VjOp|n.Z/_,]
Zap：Linux宝库~ta3bn4S;|?i
Linux宝库$K:U:Io3[
ftp://caost.cs.purdue.edu/pub/tools/unix/zap.tar.gzLinux宝库1U,ua c9e2W

3qmxi^iZ0日志分类方法：Linux宝库er!ase-]
Linux宝库Qh+E!Og2z6z
http://csrc.nist.gov/nissc/1998/proceedings/paperD1.pdfLinux宝库 ^SKi0S5D&Fe:_
Linux宝库/K6Ml-L$E+\