Unix日志文件系统.doc

Unix的日志文件系统 基本日志文件 不同版本的Unix日志文件的目录是不同的，最常用的目录是： /usr/adm 早期版本的 Unix /var/adm 较新版本的 Unix /var/log 用于Solaris,Linux,BSD等 /etc Unix system V早期版本 在这些目录下，或其子目录下，你可以找到以下日志文件（也许是其中的一部分）： lastlog 记录用户最后一次成功登录时间 loginlog 不良的登陆尝试记录 messages 记录输出到系统主控台以及由syslog系统服务程序产生的消息 utmp 记录当前登录的每个用户 utmpx 扩展的utmp wtmp 记录每一次用户登录和注销的历史信息 wtmpx 扩展的wtmp vold.log 记录使用外部介质出现的错误 xferkig 记录Ftp的存取情况 sulog 记录su命令的使用情况 acct 记录每个用户使用过的命令 aculog 拨出自动呼叫记录 下面按顺序仔细介绍一下 lastlog文件Unix在lastlog日志文件中记录每一个用户注册进入系统的最后时间，在你每一次进入系统时，系统会显示出这个时间： login: blackeyes password: h3ll0Last login :Tue Jul 27 09:55:50 on tty01 lastlog告诉用户，要核对一下最后注册进入系统的时间是否争确，若系统显示的时间与你上次进入系统的时间 不符，说明发生了非授权用户注册，若这种情况发生了，用户应该马上修改帐户口令，并通知管理员。在每次注册时，lastlog新的内容冲掉老的内容。标准版本的Unix没有提供服务程序可以阅读lastlog文件，有些程序可以提供这个服务，跟我们这里要 谈的东西关系不太大，以后再说了。 loginlog文件Unix system V版本中，可以把不成功的登录行为记录在/var/adm/loginlog中。要登记不成功的注册行为，可以用下列命令建立/var/adm/loginlog文件： #touch /var/adm/loginlog #chmod 600 /var/adm/loginlog#chown root /var/adm/loginlog 如果你知道一个系统的用户名，而你又想猜出密码，/var/adm/loginlog就会记录你的失败的登录尝试 管理员看看/var/adm/loginlog的内容，你的企图就露馅了：#cat /var/adm/loginlog hacker: from 202.88.88.xx: Tue Jul 27 02:40:502001hacker: from 202.88.88.xx: Tue Jul 27 02:41:502001hacker: from 202.88.88.xx: Tue Jul 27 02:42:502001hacker: from 202.88.88.xx: Tue Jul 27 02:43:502001hacker: from 202.88.88.xx: Tue Jul 27 02:44:502001messages文件 记录输出到系统主控台以及由syslog系统服务程序产生的消息 先看看syslog问题syslog采用可配置的、统一的系统登记程序，随时从系统各处接受log请求，然后根据/etc/syslog.conf中的预先设定把log信息写入相应文件中、邮寄给特定用户或者直接以消息的方式发往控制台。值得注意的是，为了防止入侵者修改、删除messages里的记录信息，可以采用用打印机记录或跨越网络登记的方式来挫败入侵者的企图。 syslog.conf的详细说明 以Sun Solaris operating system, version 2.5.1. 为例 /etc/syslog.conf的一般格式如下： 设备.行为级别 [；设备.行为级别] 记录行为 设备 描述 auth used by authorization systems (login) 认证系统，即询问用户名和口令cron used for the cron and at systems 系统定时系统daemon system/netword daemon 其他系统的daemonskern produced by kernel messages 内核lpr printing system 打印机系统mail mail system 邮件系统mark internally used for time stamps 定时发送