日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

31 FreeBSD連載:系統(tǒng)日志( 二 )

云知道


這三個(gè)文件是使用二進(jìn)制格式保存的,因此不能直接查看其中的內(nèi)容,而需要使用相關(guān)命令 。當(dāng)然也可以通過程序來訪問這三個(gè)文件,這就需要了解它們使用的數(shù)據(jù)結(jié)構(gòu) 。其中utmp和wtmp使用同樣的數(shù)據(jù)結(jié)構(gòu),而lastlog使用另外一個(gè)數(shù)據(jù)結(jié)構(gòu),可使用man來進(jìn)行查詢具體結(jié)構(gòu) 。如果系統(tǒng)的用戶數(shù)量很多,那么wtmp文件的大小會(huì)迅速增加,在系統(tǒng)/var文件系統(tǒng)空間緊張的情況下,就導(dǎo)致這個(gè)文件系統(tǒng)被占滿 。系統(tǒng)不會(huì)主動(dòng)控制這個(gè)文件的大小,因此這需要管理員的干預(yù),需要手工及時(shí)清除,或編寫shell腳本定期保存和清除 。
系統(tǒng)還可以提供記賬統(tǒng)計(jì)的功能,要打開系統(tǒng)的計(jì)賬功能,需要使用accton命令,注意,accton必須跟隨記賬日志文件的名字作參數(shù),而不帶參數(shù)的accton將關(guān)閉記賬進(jìn)程 。
當(dāng)打開了記賬功能后,可以使用lastcomm來檢查在系統(tǒng)中執(zhí)行的所有命令的信息,包括執(zhí)行的命令、執(zhí)行命令的用戶、用戶使用的終端tty,命令完成的時(shí)間,執(zhí)行時(shí)間等 。從lastcomm的輸出也能幫助管理員檢查可能的入侵行為 。
此外可以使用ac命令來查詢用戶的連接時(shí)間的報(bào)告,sa命令來查詢用戶消耗的處理器時(shí)間的報(bào)告 。
Syslog日志記錄
最初,syslog只是為了sendmail而設(shè)計(jì)的消息日志工具,由于它提供了一個(gè)中心控制點(diǎn),使得syslog非常好用和易配置,因此當(dāng)今很多程序都使用syslog來發(fā)送它們的記錄信息 。syslog是一種強(qiáng)大的日志記錄方式,不但可以將日志保存在本地文件中,還可以根據(jù)設(shè)置將syslog記錄發(fā)送到網(wǎng)絡(luò)上的另一臺主機(jī)中 。
支持syslog方式的系統(tǒng)啟動(dòng)了syslogd守護(hù)進(jìn)程,這個(gè)程序從本地的Unix套接字和監(jiān)聽在514端口(UDP)上的Internet套接字,來獲得syslog的記錄 。本機(jī)中進(jìn)程使用syslog系統(tǒng)調(diào)用發(fā)送來syslog記錄,然后由syslogd將他們保存到正確的文件或發(fā)送到網(wǎng)絡(luò)上另一臺運(yùn)行syslogd主機(jī)中去 。
syslogd的設(shè)置文件為/etc/syslog.conf,定義消息對應(yīng)的相應(yīng)目標(biāo),一條消息可以達(dá)到多個(gè)目標(biāo),也可能被忽略 。
#$Id: syslog.conf,v 1.9 1998/10/14 21:59:55 nate Exp $
#
#Spaces are NOT valid fIEld separators in this file.
#Consult the syslog.conf(5) manpage.
*.err;kern.debug;auth.notice;mail.crit/dev/console
*.notice;kern.debug;lpr.info;mail.crit;news.err /var/log/messages
mail.info /var/log/maillog
lpr.info/var/log/lpd-errs
cron.*/var/cron/log
*.errroot
*.notice;news.err root
*.alert root
*.emerg *
!ppp
*.*/var/log/ppp.logsyslog.conf的配置可以分為兩個(gè)部分,第一部分用于區(qū)分消息的類型,另一個(gè)用于設(shè)置消息發(fā)送的目的地 。通常,消息的類型包括消息的產(chǎn)生者,例如kern表示內(nèi)核產(chǎn)生的消息,auth表示認(rèn)證系統(tǒng)產(chǎn)生的消息,等等,還包括消息的級別,例如emerg表示非常重要的緊急信息,alert表示系統(tǒng)告警狀態(tài),crit表示關(guān)鍵狀態(tài),err表示一般的錯(cuò)誤信息,warning表示警告信息,notice表示提示信息,但還不是錯(cuò)誤,info表示一般信息,debug表示調(diào)試信息等,因此一個(gè)消息的類型可能為:kern.debug、mail.info等,但頁可以使用通配符*進(jìn)行匹配 。
從上面的syslog.conf的設(shè)置可以看出,系統(tǒng)正常運(yùn)行中的很多重要的信息,如錯(cuò)誤信息*.err、內(nèi)核調(diào)試信息kern.debuf、認(rèn)證報(bào)告auth.notice等被直接輸出的console中,另外還有一些比較重要的信息被輸出到/var/log/messages文件中,發(fā)送郵件的記錄將被保存在/var/log/maillog文件中,打印記錄為/var/log/lpd-errs等,使得管理員可以根據(jù)這些文件來查詢相關(guān)記錄,進(jìn)行統(tǒng)計(jì)或?qū)ふ蚁到y(tǒng)問題 。其中使用syslog記錄的messages文件中包括root登錄的信息、用戶多次登錄失敗的嘗試等對系統(tǒng)安全相當(dāng)重要的信息,因此也是系統(tǒng)遭受攻擊之后,攻擊者會(huì)根據(jù)syslog.conf中設(shè)置試圖清除相關(guān)文件中自己的登錄記錄 。因此對于安全性要求更高的系統(tǒng),可以嘗試將syslog發(fā)送到另一臺計(jì)算機(jī)上,或者輸出到一些設(shè)備文件中,如在打印機(jī)上立即打印輸出 。

推薦閱讀