linux安全技术第6章-中的日志管理

1、6Linux中的日志本章要Linux志管理简介 Linux基本日志管理机制使用syslog 设备Linux 日志6Linux中的日志本章要Linux志管理简介 Linux基本日志管理机制使用syslog 设备Linux 日志使用注意事Linux 日志输出查看方以及的痕迹。通过查看这些痕迹，系统管理员可以发的某点，从而能够进行处理工作，为抵御下一做好准备。本章主要讲述如何Linux6.1 Linux志管理简有四类主要的日志：者等。在Linux系统中（1）连接时间日志：由多个程序执行写入到/var/log/wtmp /var/run/utmp，login 等程序更新 wtmp 和 utmp 文件，

2、使系统管理员能够（2）进程统计：由系统内核执行。当一个进程终止时，为每个进程向进程统。进程统计的目的是为系统中的基本（3）错误日志：由 syslogd（8）守护程序执行。各种系统守护进程、用户程和内核通过 syslogd（3）守护程序向文件值得注意事件。另外有许多 Linux 程序创建日志。像 HTTP 和 FTP 这样提供网络服务的服（4）实用程序日志：许多程序日志来反映系统的安全状态。su 许用户获得另一个用户的权限，所以它的安全很重要，它的文件为 sulog。同样重要的还有sudolog。另外，诸如ApacheHttp器都有两个日志：s_log（客日志）以及 error_log（服务出错

3、日志。FTP 服务xferlog文件当中，Linux中邮件传送服务（send log当中。）的日志一6-1表6-Linux系统中常用的日志文s-HTTP/Web 的传用户Linux 系统开机自检过程显示的信最近几次成功登录的事件和最后一次s-HTTP/Web 的传用户Linux 系统开机自检过程显示的信最近几次成功登录的事件和最后一次不成功的从syslog信息（有到syslog文件（续日志文使用sudo 发令使用su 命令的从syslog信当前登录的每个用户一个用户每次登录进入和退出时间FTP会话信每一个发送到系统或从系统发出的电子邮件的活动。它用来查看用户使用哪个系统发送工具或把数据发送到哪

4、个系Linuxutmp、wtmp Linux 。有关当前登录用户的信在文件utmp 中；登录和退wtmp wtmp wtmpcron wtmp 文件。通常，wtmp wtmp.1utmpwho、w、users和fingerwtmp文件被程序last 和ac 使用。wtmp和utmptailcat等命令剪贴或合并。用户需要使用who、w、users、last ac 来使用这两个wtmpcron wtmp 文件。通常，wtmp wtmp.1utmpwho、w、users和fingerwtmp文件被程序last 和ac 使用。wtmp和utmptailcat等命令剪贴或合并。用户需要使用who、w、

5、users、last ac 来使用这两个文件包含的信息。who命who utmp 文件并当前登录的每个用户。who的缺省输出包括用户who # 9 9 May 22:03 如果指明了 /var/log/wtmp 将 文件名，则 who 命令查询所有以前的。命令 # who Sep 18 11:22 Sep 18 16:23 users命users 命令用单独的一行打印出当前登录的用户，每个显示的用户名对应一个登即如果 root 用户登录了两次，运行该命令将如下所示（该显示结果表明只登录了一个root 权限的用户：# root last命last wtmp 来显示自从文件第一次创建以来登录过的用

6、户。系在# Jul2115:08 -down Jul2114:42 -14:53Sep 18 11:22 Sep 18 16:23 users命users 命令用单独的一行打印出当前登录的用户，每个显示的用户名对应一个登即如果 root 用户登录了两次，运行该命令将如下所示（该显示结果表明只登录了一个root 权限的用户：# root last命last wtmp 来显示自从文件第一次创建以来登录过的用户。系在# Jul2115:08 -down Jul2114:42 -14:53 changyi 21 14:12 -14:12 Jul 21 -14:40 JulJulJullast patt

7、erson patterson 的历史# last MonJul2115:08 -down MonJul2114:42 -14:53 acac 命令根据当前的/var/log/wtmp （小时 UID102的用户；lastt7。lastloglastloglastlog命令检查某特定用户上次登录的时间，并格式化输出上次登录日志/var/log/lastlog ttyacac 命令根据当前的/var/log/wtmp （小时 UID102的用户；lastt7。lastloglastloglastlog命令检查某特定用户上次登录的时间，并格式化输出上次登录日志/var/log/lastlog tt

8、ylatlog将显示*Never logged*。注意需要以# 二 510 二 510 syslog syslog事件。syslog可系统事件，可以写到一个文件或设备中，或 ，随时掌握系统状况。Linuxsyslogd syslogsyslogsyslog 设备依据两个重要的文件：/etc/syslogd 守护进程和/etc/syslog.conf 配置文syslog 信息被写到/var/adm 或/var/log （meage.*通过使用syslog.confsyslogd tab 隔开：syslogdsyslog.conf其中，每个选择域由消息类型和优先级组成。当指明一个优先级时，sysl

9、ogd 6-3 列出了一些优先级信息。6-6-syslog通过使用syslog.confsyslogd tab 隔开：syslogdsyslog.conf其中，每个选择域由消息类型和优先级组成。当指明一个优先级时，syslogd 6-3 列出了一些优先级信息。6-6-syslog用户程系统守护电子邮件与安全权限相令组信Uucp程当前登录的每个用户一个用户每次登录进入和退出时间信6-syslog优先最高的紧急程度状紧急状重要信临界状出现不优先最高的紧急程度状紧急状重要信临界状出现不寻常的事一般性消调试级信不任何日志信rning”rningrrritlermeg”都包括在内。 （*（!（1）如果指

10、明critcrit、alertemerg。#Log all messages in one .*（2）其他设备也有自己的日志。UUCP 和 news 设备能产生许（1）如果指明critcrit、alertemerg。#Log all messages in one .*（2）其他设备也有自己的日志。UUCP 和 news 设备能产生许多外部消息，它们# Save news errors of level crit and higher in a l #Everybody gets emergency messages， plus log them on anther *.emerg （3）sy

11、slogd（kern设备）到#Log all kernel messages the #Logging much else up the kern.* （4）info息送到/var/log/messages以外。级别#Log ）of level info or #Dont log private authentication .none;autHPriv.none syslog进syslogd守护程序是由/etc/rc.d/init.d/syslog用选项。但有两个选项-r 和-h 很有用：2（1）如果将要使用一个日志服务调用 syslogd -r缺省情况下syslog进syslogd守护程序

12、是由/etc/rc.d/init.d/syslog用选项。但有两个选项-r 和-h 很有用：2（1）如果将要使用一个日志服务调用 syslogd -r缺省情况下 不接受来系统的信息。当指定-r 选项，syslogd 将514端口进来的UDP包（2如果还希望日志服务器能传送日志信h 缺省syslogd将忽略使其从一系统传送日志信息到另一个系统的 syslogdsyslog 守护进程（/etc/syslog.conf 守护进程重新启动后才会生效syslog 系统，在Redinux 实际应用中的 syslog 调用接日志文件来使用syslogsyslogAPI 调用接口，来使用程序实现对syslog

13、 的使用。1主要的函在Linux中，提供了四个有关syslog openlog：opensyslog：writecloselog：closevsyslog：syslog（1）openlog 函数。该函数如下void openlog(const char 程序的连接，打开之后就可以用 syslog vsyslog函数向系统日志里添加信息了。而closelogopenlogident 是一个标记，ident 所表示的字符串将固定地加在每option 一般是下列选项值取“与”运算（使用“|”表示，如“LOG_CONS ）LOG_CONS：system loggerLOG_NDELAY：LOG_PER

14、ROR：stderr第三个参数facilityLOG_AUTHLOG_AUTHPRIV：vsyslog函数向系统日志里添加信息了。而closelogopenlogident 是一个标记，ident 所表示的字符串将固定地加在每option 一般是下列选项值取“与”运算（使用“|”表示，如“LOG_CONS ）LOG_CONS：system loggerLOG_NDELAY：LOG_PERROR：stderr第三个参数facilityLOG_AUTHLOG_AUTHPRIV：LOG_CRON：时间守护进程（cron。LOG_DAEMON：LOG_LOCAL0LOG_LOCAL7：er：LOG_S

15、YSLOG：syslogdLOG_USER（缺省）：LOG_UUCP：UUCPLOG_FTP：FTP（2）syslog函数。syslog函数如下void priority, const char * 第一个参数是消息的紧急级别 priorityC语言里面 priorityseverity level facility组成的。Facility severity level，也就是消息LOG_EMERG：LOG_ALERT：LOG_CRIT：第一个参数是消息的紧急级别 priorityC语言里面 priorityseverity level facility组成的。Facility severit

16、y level，也就是消息LOG_EMERG：LOG_ALERT：LOG_CRIT：LOG_ERR：LOG_WARNING：LOG_NOTICE：LOG_INFO：LOG_DEBUG：openlog函数来连接syslogdsyslog（3）closelog2为在Linux系统中，打开的日志也是资源，如果只使用openlog函数打开日志，而忘记使用closelog2一个实际的程序调用例/*打开日志openlog(log_test , |LOG_CONS, /*写日志syslog(LOG_INFO, =%d, syslog(LOG_DEBUG,debug message /*关闭日志Linux不正

17、常的日，比如日志的残缺不全或者是诸如wtmp这样的日志文/*打开日志openlog(log_test , |LOG_CONS, /*写日志syslog(LOG_INFO, =%d, syslog(LOG_DEBUG,debug message /*关闭日志Linux不正常的日，比如日志的残缺不全或者是诸如wtmp这样的日志文IP。su。在日志。另外，syslogLinuxdmesg # 2.4.20-8)(gcc(Red inux 3.2.2-#1 Thu Mar 13 17:54:28 EST BIOS-provided physical RAM BIOS-BIOS-()BIOS-()BIO

18、S-()BIOS-BIOS-日志。另外，syslogLinuxdmesg # 2.4.20-8)(gcc(Red inux 3.2.2-#1 Thu Mar 13 17:54:28 EST BIOS-provided physical RAM BIOS-BIOS-()BIOS-()BIOS-()BIOS-BIOS-BIOS-(ACPI BIOS-BIOS-()BIOS-()BIOS-()0MB 804MB LOWMEM On node 0 totalpages: 4096 201728 0dline: ro root=LABEL=/ hdc=ide-hdc=ide-Initializing D

19、etected 1795.379 MHz 804MB LOWMEM On node 0 totalpages: 4096 201728 0dline: ro root=LABEL=/ hdc=ide-hdc=ide-Initializing Detected 1795.379 MHz Console: colour VGA+ Calibrating delay loop. 3578.26 Memory:806148k/823296kavailable(1347kkernelcode,14520k 999k data, 132k init, 0k Dentry cache hash table entries: 131072 (order: 8, 1048576 # dmesg | tail 命令设计用于显示