linux日志分析


连接时间日志--连接时间日志由多个程序执行,把记录写入到/var/log/wtmp和/var/run/utmp。login等程序更新wtmp和utmp文件,使系统管理员能够跟踪谁在何时登录到系统。
日志格式—选择条件和优先级.
错误日志--由syslogd(8)执行。各种系统守护进程、用户程序和内核通过syslog(3)向 文件/var/log/messages 报告值得注意的事件。另外有许多Linux程序创建日志。像HTTP和 FTP这样提供网络服务的服务器也保持详细的 日志。
连接时间日志:
utmp、wtmp和lastlog日志文件是多数重用UNIX日志子系统的关键--保持用户登录进入和退 出的纪录。有关当 前登录用户的信息记录在文件utmp中;登录进入和退出纪录在文件wtmp 中;最后一次登录文件可以用lastlog命令 察看。数据交换、关机和重起也记录在wtmp文件中。
who、w、users、ac命令由系统内核执行。当一个进程终止时,为每个进程往进程统计文件(pacct或 acct)中写一个纪录。 进程统计的目的是为系统中的基本服务提供命令使用统计。 
/var/log/secure登陆进系统的记录,包括sshd telnet pop等.
错误日志:
Syslog已被许多日志函数采纳,它用在许多保护措施中--任何程序都可以通过syslog 纪录 事件。Syslog可以纪录 系统事件,可以写到一个文件或设备中,或给用户发送一个信息。 它能纪录本地事件或通过网络纪录另一个主机 上的事件。
/etc/syslog.conf文件格式讲解
服务名称.记录等级    存放位置
服务名称包括常用的服务例如httpd,ftpd等.
记录等级 info(信息的资料) notice(建议信息要关注) warning或者是warn(警告的信息)  error(错误信息) 特殊等级如debug (显示调试信息)
Syslog的存放位置
绝对路径:/var/log
打印机:/dev/lp0
远程主机: @192.168.0.10
同时远程主机要开启-r选项/etc/sysconfig/syslog
(重点讲解实现方法)
syslog的安全属性设定
Chattr +a /var/log/messages
Lsattr /var/log/message
只能增加资料,但不能删除.(只有root才能修改,但是也不一定我们可以利用lcap让root也不能删除和修改以后讲解)

相关内容

    暂无相关文章