安全审计的基础知识课件

安全审计

安全审计

1安全审计

审计技术出现在计算机技术之前，是产生和记录并检查按时间顺序排列的系统事件记录过程。安全审计是计算机和网络安全的重要组成部分。安全审计提供的功能服务于直接和间接两方面的安全目标：1.直接的安全目标包括跟踪和监测系统中的异常事件2.间接的安全目标是检测系统中其他安全机制的运行情况和可信度安全审计

审计技术出现在计算机技术之前，是产生和记录并检查按2审计的目标确定和保持系统活动中每个人的责任确认重建事件的发生评估损失监测系统问题区提供有效的灾难恢复依据提供阻止不正当使用系统行为的依据提供案件侦破证据安全审计系统的目标至少要包括以下几个方面：审计的目标确定和保持系统活动中每个人的责任安全审计系统的目标3审计系统的组成审计系统的组成4日志记录的原则

在理想情况下，日志应该记录每个可能的事件，以便分析发生的所有事件，并恢复任何时刻进行的历史情况。但这样存储量过大，并且将严重影响系统的性能。因此。日志的内容应该是有选择的。一般情况下日志的记录应该满足如下的原则：（1）日志应该记录任何必要的事件，以检测已知的攻击模式。（2）日志应该记录任何必要的事件，以检测异常的攻击模式。（3）日志应该记录关于记录系统连续可靠工作的信息。日志记录的原则在理想情况下，日志应该记录每个可5日志的内容审计功能的启动和关闭使用身份鉴别机制将客体引入主体的地址空间删除客体管理员、安全员、审计员和一般操作人员的操作其他专门定义的可审计事件

日志系统根据安全要求记录上面事件的部分或全部。通常，对于一个事件，日志应包括事件发生的日期和时间、引发事件的用户（地址）事件、和源目的的位置、事件类型、事件成败等。日志的内容审计功能的启动和关闭日志系统根据安全6记录机制

不同的系统可采用不同的机制记录日志。但大多情况可用系统调用Syslog来记录日志，也可用SNMP记录。下面简单介绍下Syslog：

Syslog由Syslog守护程序、Syslog规则集及Syslog系统调用三部分组成，如下图：记录机制不同的系统可采用不同的机制记录日志。但7安全审计分析（1）潜在侵害分析：日志分析应能用一些规则去监控审计事件，并根据规则发现潜在的入侵。（2）基于异常检测的轮廓：确定正常行为轮廓，当日志中的事件违反它或超出他的一定门限，能指出将要发生的威胁。（3）简单攻击探测：对重大威胁特征有明确描述，当攻击现象出现，能及时指出。（4）复杂攻击检测：要求高的日志分析系统还应能检测到多部入侵序列，当攻击序列出现，能预测其发生的步骤。日志分析就是在日志中寻找模式，其主要内容：安全审计分析（1）潜在侵害分析：日志分析应能用一些规则去监控8审计事件查阅

由于审计系统是追踪、恢复的直接依据，甚至是司法依据，因此其自身的安全性十分重要。审计系统的安全性主要是查阅和存储的安全。审计事件的查阅应该受到严格的限制，不能篡改日志。通常通过以下不同的层次来保证查阅的安全。（1）审计查阅：审计系统以可理解的方式为授权用户提供查阅日志和分析结果的功能。（2）有限审计查阅：审计系统只能提供对内容的读权限，因此应拒绝具有读以外权限的用户访问审计系统。（3）可选审计查阅：在有限审计查阅的基础上限制查阅的范围。审计事件查阅由于审计系统是追踪、恢复的9审计事件存储审计事件的存储也有安全性的要求，具体有如下几种情况。（1）受保护的审计踪迹存储：即要求存储系统对日志事件具有防护功能，防止未授权的修改和删除，并具有检测修改和删除的能力。（2）审计数据的可用性保证：在审计存储系统遭受意外时，能防止或检测审计记录的修改，在存储介质存满或存储失败时，能确保记录不被破坏。（3）防止审计数据丢失：在审计踪迹超过预定的门限或记满时，应采取相应的措施防止数据丢失。这种措施可以是忽略可审计事件、只允许记录有特殊权限的事件、覆盖以前记录、停止工作等等。审计事件存储审计事件的存储也有安全性的要求，10安全审计应用实例安全审计应用实例111.NT审计子系统结构几乎WindowsNT系统中的每一项事务都可以在一定程度上被审计，可以在Explorer和Usermanager两个地方打开审计。在Explorer中，选择Security，再选择Auditing以激活DirectoryAuditing对话框，系统管理员可以在这个窗口选择跟踪有效和无效的文件访问。在Usermanager中，系统管理员可以根据各种用户事件的成功和失败选择审计策略，如登陆和退出、文件访问、权限非法和关闭系统等。WindowsNT使用一种特殊的格式存放它的日志文件，这种各式的文件可以被事件查看器Eventviewer读取。事件应用实例

WindowsNT中的安全审计1.NT审计子系统结构应用实例

WindowsNT中的安12

WindowsNT的日志文件很多，但主要是系统日志、安全日志和应用日志三个。这三个审计日志是审计一WindowsNT系统的核心。默认安装时安全日志不打开。WindowsNT中所有可被审计的事件都存入了其中的一个日志。（1）ApplicationLog：包括用NTSecurityauthority注册的应用程序产生的信息。（2）SecurityLog：包括有关通过NT可识别安全提供者和客户的系统访问信息。（3）SystemLog:包含所有系统相关事件的信息。察看器可以在Administrativetool程序组中找到。系统管理员可以使用事件察看器的Filter选项根据一定条件选择要查看的日志条目。查看条件条件包括类别、拥护和消息类型。1.NT审计子系统结构察看器可以在Administrativetool13应用实例

WindowsNT中的安全审计2.审计日志和记录格式WindowsNT的审计日志由一系列的事件记录组成，每一个事件记录分为三个功能部分：头、事件描述和可选的附加数据项。如下表显示了一个事件记录的结构。安全日志的入口通常由头和事件描述组成。数据时间用户名计算机名事件ID源类型种类可变内容,依赖于事件。可以使问题的文本解释和纠正措施的建议附加域。如果采用的话，包含可以字节或字显示的二进制数据及事件记录的源应用产生的信息记录头事件描述附加数据应用实例

WindowsNT中的安全审计2.审计日志和记14时间记录头有下列域组成：（1）日期：事件的日期标识。（2）时间：事件的时间标识。（3）用户名：表识事件是有谁触发的。（4）计算机名：事件所在的计算机名。当用户在整个企业范围内集中安全管理时，该信息大大简化了审计信息的回顾。（5）事件ID：事件类型的数字标识。在事件记录描述中，这个域通常被映射成一个文本表识（事件名）。(6)源：用来响应事件纪录的软件。源可以是一个应用程序、一个系统服务或一个设备驱动器。（7）类型：事件严重性指示器。在系统和应用日志中，类型可以是错误、警告或信息，按重要性降序排列。（8）种类：触发事件类型，主要用在安全日志中指示该类事件的成功或失败审计已经被许可。时间记录头有下列域组成：（1）日期：事件的日期标识。（4）计153.NT事件日志管理特征WindowsNT提供了大量特征给系统管理员区管理操作系统事件日志机制。例如：管理员能限制日志的大小并规定当文档达到容量上限时，如何去处理这些文件。选项包括：用新纪录去冲掉最老的纪录，停止系统直到事件日志备受共清除。

当系统开始运行时，系统和应用事件日志也自动开始。当日志文件满并且系统配置规定它们必须备受共清除时，日志停止。另一方面，安全事件日志必须由具有管理者权限的人启动。利用NT得用户管理器，可以设置安全审计规则。要启动安全审计的功能，只需在规则菜单下选择审计，然后通过察看NT记录的安全事件日志中的安全性事件，既可以跟踪所选用户的操作。3.NT事件日志管理特征WindowsN16应用实例

WindowsNT中的安全审计4.NT安全日志的审计策略NT安全日志由审计策略支配，审计策略可以通过配置审计策略对话框中的选项来建立。NT的审计规则如下（既可以审计成功的操作，又可以审计失败的操作）：（1）登陆及注销（2）用户及组管理（3）文件及对象访问（4）安全性规则更改（5）重新启动、关机及系统级事件（6）进程追踪（7）文件和目录审计应用实例

WindowsNT中的安全审计4.NT安全日175.管理和维护NT审计通常情况下，WindowsNT不是将所有的事件都记录日志，而需要手动启动审计的功能。这是首先需要从开始菜单中选择程序，然后再选择管理工具。从管理工具紫菜单选择用户管理器，显示出用户管理起窗口。然后从用户管理器的菜单中单击policies(策略)，再单击audit(审计)，审计策略窗口就出现了。接着选择单选框”auditthestevents”(审计这些事件)。最后选择需要启动事件的按OK，然后关闭用户管理器。值得注意的是在启动WindowsNT的审计功能时，需要仔细选择审计的内容。5.管理和维护NT审计通常情况下，Windows18审计日志将产生大量的数据，因此较为合理的方法是首先设置进行简单审计，然后在监视系统的情况下逐步增加复杂的审计要求。当需要审查审计日志以跟踪网络或机器上的异常事件时，采用一些第三方提供的工具是一个叫有效率的选择。最后介绍一下WindowsNT的三个日志文件的物理位置。系统日志：%systemroot%\system32\config\sysevent.evt安全日志：%systemroot%\system32\config\secevent.evt应用程序日志：%systemroot%\system32\config\appevent.evt5.管理和维护NT审计审计日志将产生大量的数据，因此较为合理的方法是首先设置进行简19Unix/Linux中的安全审计Unix存放日志文件最常用的目录/usr/adm早期版本的unix/var/adm较新版本的unix/var/log用于Solaris,Linix,BSD/etcUnixsystemV早期版本Unix/Linux中的安全审计Unix存放日志文件最常用20常的日志文件lastlog用户最后一次成功登录时间loginlog不良的登录尝试记录messages输出到系统主控台的消息utmp当前登录的每个用户wtmp每一次用户登录和注销的历史信息vold.log使用外部介质出现的错误xferkigFtp的存取情况acct每个用户使用过的命令aculog拨出自动呼叫记录常的日志文件lastlog用户最后一次成功登录21应用实例

Unix/Linux中的安全审计连接时间日志

连接时间日志由多个程序程序执行，把记录写入到/var/log/wtm和/var/run/utmp中并通过login等程序更新wtmp和utmp文件，使系统管理员能够跟踪谁在何时登录到系统。应用实例

Unix/Linux中的安全审计连接时间日志22lastlog文件，Unix在lastlog日志文件中记录每一个用户注册进入系统的最后时间，在每一次进入系统是，系统会显示这个信息。告诉用户和对一下最后注册进入系统的时间是否正确，若系统显示的时间与上次进入系统的时间不服，说明发生了非授权用户注册。

连接时间日志：连接时间日志：23loginlog文件，UnixsystemV版本中可以把不成功的登陆行为记录在/var/adm/loginlog中。如果某个入侵者直到一个系统的用户名，同时又想猜出密码，/var/adm/loginlog就会记录他的失败的登陆尝试。

utmp、wtmp和lastlog日志文件是多数Unix日志系统的关键---记录用户的登陆和推出信息。有关当前登陆用户的信息记录在utmp中。等和推出记录在文件wtmp中。最后一次登陆文件可以用lastlog命令察看。数据交换和重启也记录在wtmp文件中。所有的记录都包括时间戳。这些文件（lastlog通常不大）在具有大量用户的系统中增长十分迅速.wtmp和utmp都是为二进制文件，不能被诸如tail命令剪贴或合并（使用cat命令）。用户可以通过who,w,users,last和ac来使用这两个文件包含的信息。

连接时间日志：loginlog文件，UnixsystemV版本中可24应用实例

Unix/Linux中的安全审计进程统计日志进程统计日志由系统内核执行。当一个进程终止时，系统往进程统计文件中写一个记录。其目的是为系统中的基本服务提供命令使用统计。应用实例

Unix/Linux中的安全审计进程统计日志25

与连接按日志不同，进程统计子系统缺省为不激活，必须通过启动来激活。在Unix/Linux系统中启动进程统计使用accton命令，必须用root身份来运行。accton命令的形式为acctonfile，file必须先存在。然后运行accton:accton/var/log/pacct。进程日志系统可以跟踪每个用户运行的每条命令，并且对跟踪一个入侵者有帮助。，进程系统一个问题是pacct文件可能增长得十分迅速。这是需要交互式或经过corn机制运行sa命名来保持日志数据在系统控制的范围内。进程系统日志：进程系统日志：26应用实例

Unix/Linux中的安全审计错误日志错误日志由syslog执行。各种系统守护进程、用户程序和内核通过syslog向文件/var/log/messages报告值得注意的事件。另外，有许多Unix/Linux程序也会创建日志。应用实例

Unix/Linux中的安全审计错误日志27syslog采用可配置的统一的系统登陆程序，随时从系统各处接受log请求，然后根据/etc/syslog.conf中的预先设定把log消息写入相应的文件并有机给特定的用户或者直接以消息的方式发往控制台。任何程序都可以通过syslog记录事件。syslog可以记录系统事件，也能记录本地事件或通过网络记录另一个主机上的事件。syslog设备依据两个重要的文件：/etc/syslogd（守护进程）和/etc/syslog.conf配置文件。习惯上，多数syslog信息被写道/var/adm或/var/log目录下的信息文件中（message.*）。错误日志：错误日志：28syslog.conf文件指明syslog程序记录日志的行为，syslog程序在启动时查询配置文件。给文件由不同的程序或消息分类的单个条目组成，每个占一行。对每类消息提供俄选择域和一个动作域。这些域由tab隔开，选择域指明消息的类型和优先级，动作域指明syslog接收到一个与选择标准相匹配的消息时所执行的动作。每个选项是由设备和优先级组成。当指明一个优先级时。syslog将记录一个拥有相同或更高优先级的消息。所以如果指明crit,那所有标为crit、alert和emerg的消息都将被纪录。每行的行动域指明当选择域选择了一个给定消息后应给把它发送到哪里。错误日志：syslog.conf文件指明syslog程序记录日志的行29安全审计

安全审计

30安全审计

审计技术出现在计算机技术之前，是产生和记录并检查按时间顺序排列的系统事件记录过程。安全审计是计算机和网络安全的重要组成部分。安全审计提供的功能服务于直接和间接两方面的安全目标：1.直接的安全目标包括跟踪和监测系统中的异常事件2.间接的安全目标是检测系统中其他安全机制的运行情况和可信度安全审计

审计技术出现在计算机技术之前，是产生和记录并检查按31审计的目标确定和保持系统活动中每个人的责任确认重建事件的发生评估损失监测系统问题区提供有效的灾难恢复依据提供阻止不正当使用系统行为的依据提供案件侦破证据安全审计系统的目标至少要包括以下几个方面：审计的目标确定和保持系统活动中每个人的责任安全审计系统的目标32审计系统的组成审计系统的组成33日志记录的原则

在理想情况下，日志应该记录每个可能的事件，以便分析发生的所有事件，并恢复任何时刻进行的历史情况。但这样存储量过大，并且将严重影响系统的性能。因此。日志的内容应该是有选择的。一般情况下日志的记录应该满足如下的原则：（1）日志应该记录任何必要的事件，以检测已知的攻击模式。（2）日志应该记录任何必要的事件，以检测异常的攻击模式。（3）日志应该记录关于记录系统连续可靠工作的信息。日志记录的原则在理想情况下，日志应该记录每个可34日志的内容审计功能的启动和关闭使用身份鉴别机制将客体引入主体的地址空间删除客体管理员、安全员、审计员和一般操作人员的操作其他专门定义的可审计事件

日志系统根据安全要求记录上面事件的部分或全部。通常，对于一个事件，日志应包括事件发生的日期和时间、引发事件的用户（地址）事件、和源目的的位置、事件类型、事件成败等。日志的内容审计功能的启动和关闭日志系统根据安全35记录机制

不同的系统可采用不同的机制记录日志。但大多情况可用系统调用Syslog来记录日志，也可用SNMP记录。下面简单介绍下Syslog：

Syslog由Syslog守护程序、Syslog规则集及Syslog系统调用三部分组成，如下图：记录机制不同的系统可采用不同的机制记录日志。但36安全审计分析（1）潜在侵害分析：日志分析应能用一些规则去监控审计事件，并根据规则发现潜在的入侵。（2）基于异常检测的轮廓：确定正常行为轮廓，当日志中的事件违反它或超出他的一定门限，能指出将要发生的威胁。（3）简单攻击探测：对重大威胁特征有明确描述，当攻击现象出现，能及时指出。（4）复杂攻击检测：要求高的日志分析系统还应能检测到多部入侵序列，当攻击序列出现，能预测其发生的步骤。日志分析就是在日志中寻找模式，其主要内容：安全审计分析（1）潜在侵害分析：日志分析应能用一些规则去监控37审计事件查阅

由于审计系统是追踪、恢复的直接依据，甚至是司法依据，因此其自身的安全性十分重要。审计系统的安全性主要是查阅和存储的安全。审计事件的查阅应该受到严格的限制，不能篡改日志。通常通过以下不同的层次来保证查阅的安全。（1）审计查阅：审计系统以可理解的方式为授权用户提供查阅日志和分析结果的功能。（2）有限审计查阅：审计系统只能提供对内容的读权限，因此应拒绝具有读以外权限的用户访问审计系统。（3）可选审计查阅：在有限审计查阅的基础上限制查阅的范围。审计事件查阅由于审计系统是追踪、恢复的38审计事件存储审计事件的存储也有安全性的要求，具体有如下几种情况。（1）受保护的审计踪迹存储：即要求存储系统对日志事件具有防护功能，防止未授权的修改和删除，并具有检测修改和删除的能力。（2）审计数据的可用性保证：在审计存储系统遭受意外时，能防止或检测审计记录的修改，在存储介质存满或存储失败时，能确保记录不被破坏。（3）防止审计数据丢失：在审计踪迹超过预定的门限或记满时，应采取相应的措施防止数据丢失。这种措施可以是忽略可审计事件、只允许记录有特殊权限的事件、覆盖以前记录、停止工作等等。审计事件存储审计事件的存储也有安全性的要求，39安全审计应用实例安全审计应用实例401.NT审计子系统结构几乎WindowsNT系统中的每一项事务都可以在一定程度上被审计，可以在Explorer和Usermanager两个地方打开审计。在Explorer中，选择Security，再选择Auditing以激活DirectoryAuditing对话框，系统管理员可以在这个窗口选择跟踪有效和无效的文件访问。在Usermanager中，系统管理员可以根据各种用户事件的成功和失败选择审计策略，如登陆和退出、文件访问、权限非法和关闭系统等。WindowsNT使用一种特殊的格式存放它的日志文件，这种各式的文件可以被事件查看器Eventviewer读取。事件应用实例

WindowsNT中的安全审计1.NT审计子系统结构应用实例

WindowsNT中的安41

WindowsNT的日志文件很多，但主要是系统日志、安全日志和应用日志三个。这三个审计日志是审计一WindowsNT系统的核心。默认安装时安全日志不打开。WindowsNT中所有可被审计的事件都存入了其中的一个日志。（1）ApplicationLog：包括用NTSecurityauthority注册的应用程序产生的信息。（2）SecurityLog：包括有关通过NT可识别安全提供者和客户的系统访问信息。（3）SystemLog:包含所有系统相关事件的信息。察看器可以在Administrativetool程序组中找到。系统管理员可以使用事件察看器的Filter选项根据一定条件选择要查看的日志条目。查看条件条件包括类别、拥护和消息类型。1.NT审计子系统结构察看器可以在Administrativetool42应用实例

WindowsNT中的安全审计2.审计日志和记录格式WindowsNT的审计日志由一系列的事件记录组成，每一个事件记录分为三个功能部分：头、事件描述和可选的附加数据项。如下表显示了一个事件记录的结构。安全日志的入口通常由头和事件描述组成。数据时间用户名计算机名事件ID源类型种类可变内容,依赖于事件。可以使问题的文本解释和纠正措施的建议附加域。如果采用的话，包含可以字节或字显示的二进制数据及事件记录的源应用产生的信息记录头事件描述附加数据应用实例

WindowsNT中的安全审计2.审计日志和记43时间记录头有下列域组成：（1）日期：事件的日期标识。（2）时间：事件的时间标识。（3）用户名：表识事件是有谁触发的。（4）计算机名：事件所在的计算机名。当用户在整个企业范围内集中安全管理时，该信息大大简化了审计信息的回顾。（5）事件ID：事件类型的数字标识。在事件记录描述中，这个域通常被映射成一个文本表识（事件名）。(6)源：用来响应事件纪录的软件。源可以是一个应用程序、一个系统服务或一个设备驱动器。（7）类型：事件严重性指示器。在系统和应用日志中，类型可以是错误、警告或信息，按重要性降序排列。（8）种类：触发事件类型，主要用在安全日志中指示该类事件的成功或失败审计已经被许可。时间记录头有下列域组成：（1）日期：事件的日期标识。（4）计443.NT事件日志管理特征WindowsNT提供了大量特征给系统管理员区管理操作系统事件日志机制。例如：管理员能限制日志的大小并规定当文档达到容量上限时，如何去处理这些文件。选项包括：用新纪录去冲掉最老的纪录，停止系统直到事件日志备受共清除。

当系统开始运行时，系统和应用事件日志也自动开始。当日志文件满并且系统配置规定它们必须备受共清除时，日志停止。另一方面，安全事件日志必须由具有管理者权限的人启动。利用NT得用户管理器，可以设置安全审计规则。要启动安全审计的功能，只需在规则菜单下选择审计，然后通过察看NT记录的安全事件日志中的安全性事件，既可以跟踪所选用户的操作。3.NT事件日志管理特征WindowsN45应用实例

WindowsNT中的安全审计4.NT安全日志的审计策略NT安全日志由审计策略支配，审计策略可以通过配置审计策略对话框中的选项来建立。NT的审计规则如下（既可以审计成功的操作，又可以审计失败的操作）：（1）登陆及注销（2）用户及组管理（3）文件及对象访问（4）安全性规则更改（5）重新启动、关机及系统级事件（6）进程追踪（7）文件和目录审计应用实例

WindowsNT中的安全审计4.NT安全日465.管理和维护NT审计通常情况下，WindowsNT不是将所有的事件都记录日志，而需要手动启动审计的功能。这是首先需要从开始菜单中选择程序，然后再选择管理工具。从管理工具紫菜单选择用户管理器，显示出用户管理起窗口。然后从用户管理器的菜单中单击policies(策略)，再单击audit(审计)，审计策略窗口就出现了。接着选择单选框”auditthestevents”(审计这些事件)。最后选择需要启动事件的按OK，然后关闭用户管理器。值得注意的是在启动WindowsNT的审计功能时，需要仔细选择审计的内容。5.管理和维护NT审计通常情况下，Windows47审计日志将产生大量的数据，因此较为合理的方法是首先设置进行简单审计，然后在监视系统的情况下逐步增加复杂的审计要求。当需要审查审计日志以跟踪网络或机器上的异常事件时，采用一些第三方提供的工具是一个叫有效率的选择。最后介绍一下WindowsNT的三个日志文件的物理位置。系统日志：%systemroot%\system32\config\sysevent.evt安全日志：%systemroot%\system32\config\secevent.evt应用程序日志：%systemroot%\system32\config\appevent.evt5.管理和维护NT审计审计日志将产生大量的数据，因此较为合理的方法是首先设置进行简48Unix/Linux中的安全审计Unix存放日志文件最常用的目录/usr/adm早期版本的unix/var/adm较新版本的unix/var/log用于Solaris,Linix,BSD/etcUnixsystemV早期版本Unix/Linux中的安全审计Unix存放日志文件最常用49常的日志文件lastlog用户最后一次成功登录时间loginlog不良的登录尝试记录messages输出到系统主控台的消息utmp当前登录的每个用户wtmp每一次用户登录和注销的历史信息vold.log使用外部介质出现的错误xferkigFtp的存取情况acct每个用户使用过的命令aculog拨出自动呼叫记录常的日志文件lastlog用户最后一次成功登录50应用实例

Unix/Linux中的安全审计连接时间日志

连接时间日志由多个程序程序执行，把记录写入到/var/log/wtm和/var/run/utmp中并通过login等程序更新wtmp和utmp文件，使系统管理员能够跟踪谁在何时登录到系统。应用实例

Unix/Linux中的安全审计连接时间日志51lastlog文件，Unix在lastlog日志文件中记录每一个用户注册进入系统的最后时间，在每一次进入系统是，系统会显示这个信息。告诉用户和对一下最后注册进入系统的时间是否正确，若系统显示的时间与上次进入系统的时间不服，说明发生了非授权用户注册。

连接时间日志：连接时间日志：52loginlog文件，UnixsystemV版本中可以把不成功的登陆行为记录在/var/adm/loginlog中。如果某个入侵者直到一个系统的用户名，同时又想猜出密码，/var/adm/loginlog就会记录他的失败的登陆尝试。

utmp、wtmp和lastlog日志文件是多数Unix日志系统的关键---记录用户的登陆和推出信息。有关当前登陆用户的信息记录在utmp中。等和推出记录在文件wtmp中。最后一次登陆文件可以用lastlog命令察