Freebsd 系统日志分析
系统日志对于服务器安全来说非常重要,它记录了系统每天发生的各种各样的事情,我们可以通过检查系统日志来分析错误的原因,查看受到攻击时,攻击者留下的痕迹,还可以实时监测系统状态,监测和追踪入侵者等等.
日志主要分三部分:
1.连接时间日志,由login等程序更新,使系统管理员能够跟踪谁在何时登录到系统,纪录写入到/var/log/wtmp和/var/run/utmp。
2.错误日志–由syslogd(8)执行。各种系统守护进程、用户程序和内核通过syslog向文件/var/log/messages报告值得注意的事件。
3.另外有许多UNIX程序创建日志。像HTTP和FTP这样提供网络服务的服务器也保持详细的日志。
常用的系统日志包括:
access-log 记录http/web的传输
acct/pact
记录用户命令
aculog
记录MODEM的活动
btmp
记录失败的纪录
lastlog
记录最近几次成功登录的事件和最后一次不成功的登录
messages
从syslog中记录信息(有的链接到syslog文件)
sudolog
记录使用sudo发出的命令
sulog
记录使用su命令的使用
syslog
从syslog中记录信息(通常链接到messages文件)
utmp
记录当前登录的每个用户
wtmp
一个用户每次登录进入和退出时间的永久记录
xferlog
记录ftp会话
系统日志大多为二进制形式,不能使用tail和cat等命令查看,但是我们可以使用以下命令去获取其中的信息,主要为who、w、users、last和ac。
who:who命令查询utmp文件并报告当前登录的每个用户。Who的缺省输出包括用户名、终端类型、登录日期及远程主机。格式:who /var/log/wtmp 或者who /var/run/utmp
w:w命令查询utmp文件并显示当前系统中每个用户和它所运行的进程信息。
users:users用单独的一行打印出当前登录的用户,每个显示的用户名对应一个登录会话。
last:last命令往回搜索wtmp来显示自从文件第一次创建以来登录过的用户,还可以指明某一用户,例:last aaa
ac:ac命令根据当前的/var/log/wtmp文件中的登录进入和退出来报告用户连结的时间(小时),如果不使用标志,则报告总的时间。例如 :
ac 回车 显示
total
111.73
ac –d 回车 显示
Jan
2
total
70.45
Jan
3
total
41.35
ac -p (回车)显示 每个用户的总的连接时间
搜索更多相关主题的帖子:
Freebsd 日志 系统
