linux系統日志解析

Linux系統中的日志子系統對于系統安全來說非常重要，它記錄了系統每天發生的各種各樣的事情，包括那些用戶曾經或者正在使用系統，可以通過日志來檢查錯誤發生的原因，更重要的是在系統受到黑客攻擊后，日志可以記錄下攻擊者留下的痕跡，通過查看這些痕跡，系統管理員可以發現黑客攻擊的某些手段以及特點，從而能夠進行處理工作，為抵御下一次攻擊做好準備。
　　在Linux系統中，有三類主要的日志子系統:

　　● 連接時間日志: 由多個程序執行，把記錄寫入到/var/log/wtmp和/var/run/utmp，login等程序會更新wtmp和utmp文件，使系統管理員能夠跟蹤誰在何時登錄到系統。

　　● 進程統計: 由系統內核執行，當一個進程終止時，為每個進程往進程統計文件（pacct或acct）中寫一個記錄。進程統計的目的是為系統中的基本服務提供命令使用統計。

　　● 錯誤日志: 由syslogd（8）守護程序執行，各種系統守護進程、用戶程序和內核通過syslogd（3）守護程序向文件/var/log/messages報告值得注意的事件。另外有許多Unix程序創建日志。像HTTP和FTP這樣提供網絡服務的服務器也保持詳細的日志。

常用的日志文件如下：

access-log 紀錄HTTP/web的傳輸  　　acct/pacct 紀錄用戶命令  　　aculog 紀錄MODEM的活動  　　btmp 紀錄失敗的紀錄  　　lastlog 紀錄最近幾次成功登錄的事件和最后一次不成功的登錄  　　messages 從syslog中記錄信息（有的鏈接到syslog文件）  　　sudolog 紀錄使用sudo發出的命令  　　sulog 紀錄使用su命令的使用  　　syslog 從syslog中記錄信息（通常鏈接到messages文件）  　　utmp 紀錄當前登錄的每個用戶  　　wtmp 一個用戶每次登錄進入和退出時間的永久紀錄  　　xferlog 紀錄FTP會話

下面是日志級別

1.emerg
緊急 - 系統無法使用。
"Child cannot open lock file. Exiting"
2.alert
必須立即采取措施。
"getpwuid: couldn’t determine user name from uid"
3.crit
致命情況。
"socket: Failed to get a socket, exiting child"
4.error
錯誤情況。
"Premature end of script headers"
5.warn
警告情況。
"child process 1234 did not exit, sending another SIGHUP"
6.notice
一般重要情況。
"httpd: caught SIGBUS, attempting to dump core in ..."
7、info
普通信息。
"Server seems busy, (you may need to increase StartServers, or Min/MaxSpareServers)..."
8.debug
出錯級別信息
"Opening config file ..."
當指定了特定級別時，任何級別高于他的信息也會同時報告。比如說，當指定了LogLevel info時，任何 notice和warn級別的信息也會被記錄。

utmp、wtmp和lastlog日志文件是多數重用UNIX日志子系統的關鍵--保持用戶 登錄進入和退出的紀錄。有關當前登錄用戶的信息記錄在文件utmp中；登錄進入和退出紀錄在文件wtmp中；最后一次登錄文件可以用lastlog命令察 看。數據交換、關機和重起也記錄在wtmp文件中。所有的紀錄都包含時間戳。這些文件（lastlog通常不大）在具有大量用戶的系統中增長十分迅速。例 如wtmp文件可以無限增長，除非定期截取。許多系統以一天或者一周為單位把wtmp配置成循環使用。它通常由cron運行的腳本來修改。這些腳本重新命 名并循環使用wtmp文件。通常，wtmp在第一天結束后命名為wtmp.1；第二天后wtmp.1變為wtmp.2等等，直到wtmp.7。

每次有一個用戶登錄時，login程序在文件lastlog中察看用戶的UID。如果找到了， 則把用戶上次登錄、退出時間和主機名寫到標準輸出中，然后login程序在lastlog中紀錄新的登錄時間。在新的lastlog紀錄寫入后，utmp 文件打開并插入用戶的utmp紀錄。該紀錄一直用到用戶登錄退出時刪除。utmp文件被各種命令文件使用，包括who、w、users和finger。

下一步，login程序打開文件wtmp附加用戶的utmp紀錄。當用戶登錄退出時，具有更新時間戳的同一utmp紀錄附加到文件中。wtmp文件被程序last和ac使用。

進程統計

linux可以跟蹤每個用戶運行的每條命令，如果想知道昨晚弄亂了哪些重要的文件，進程 統計子系統可以告訴你。它對還跟蹤一個侵入者有幫助。與連接時間日志不同，進程統計子系統缺省不激活，它必須啟動。在Linux系統中啟動進程統計使用 accton命令，必須用root身份來運行。Accton命令的形式accton file，file必須先存在。先使用touch命令來創建pacct文件：touch /var/log/pacct，然后運行accton： accton /var/log/pacct。一旦accton被激活，就可以使用lastcomm命令監測系統中任何時候執行的命令。若要關閉統計，可以使用不帶任何 參數的accton命令。

lastcomm命令報告以前執行的文件。不帶參數時，lastcomm命令顯示當前統計文件生命周期內紀錄的所有命令的有關信息。包括命令名、用戶、tty、命令花費的CPU時間和一個時間戳。如果系統有許多用戶，輸入則可能很長。下面的例子就體現了這點：

crond F root ?? 0.00 secs Sun Aug 20 00:16  　　promisc_check.s S root ?? 0.04 secs Sun Aug 20 00:16  　　promisc_check root ?? 0.01 secs Sun Aug 20 00:16  　　grep root ?? 0.02 secs Sun Aug 20 00:16  　　tail root ?? 0.01 secs Sun Aug 20 00:16  　　sh root ?? 0.01 secs Sun Aug 20 00:15  　　ping S root ?? 0.01 secs Sun Aug 20 00:15  　　ping6.pl F root ?? 0.01 secs Sun Aug 20 00:15  　　sh root ?? 0.01 secs Sun Aug 20 00:15  　　ping S root ?? 0.02 secs Sun Aug 20 00:15  　　ping6.pl F root ?? 0.02 secs Sun Aug 20 00:15  　　sh root ?? 0.02 secs Sun Aug 20 00:15  　　ping S root ?? 0.00 secs Sun Aug 20 00:15  　　ping6.pl F root ?? 0.01 secs Sun Aug 20 00:15  　　sh root ?? 0.01 secs Sun Aug 20 00:15  　　ping S root ?? 0.01 secs Sun Aug 20 00:15  　　sh root ?? 0.02 secs Sun Aug 20 00:15  　　ping S root ?? 1.34 secs Sun Aug 20 00:15  　　locat

億恩科技地址(ADD)：鄭州市黃河路129號天一大廈608室 郵編(ZIP)：450008 傳真(FAX)：0371-60123888
   聯系：億恩小凡
   QQ：89317007
   電話:0371-63322206

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]