第22章 登录日志文件分析.ppt

什么是登录日志？ 就是记录系统活动记录的几个日志 登录日志的作用? 解决系统的错误：硬件检测信息,系统资源等. 解决网络服务的问题：各种服务的运行状况 记录登录信息：启动各种服务的信息 常见的登录日志有 /var/log/secure： 记录登录系统存取数据的日志文件，例如 pop3, ssh, telnet, ftp 等都会记录在此日志中； /var/log/wtmp： 记录登录者的纳西，由于本日志已经被编码过，所以必须使用 last 这个指令查看. /var/log/messages： 系统发生的错误信息 /var/log/boot.log： 记录开机或者是一些服务启动的时候，所显示的启动或关闭信息； /var/log/maillog 或 /var/log/mail/*： 纪录邮件存取或往来( sendmail 与 pop3 )的用户记录； /var/log/cron： 这个是用来记录 crontab 这个计划任务服务的内容 /var/log/httpd, /var/log/news, /var/log/mysqld.log, /var/log/samba, /var/log/procmail.log： 几个不同的网络服务的记录 syslogd：日志记录 进行系统或者是网络服务的登录文件记录工作； logrotate：日志的轮转 将旧的数据更名，并且建立新的登录日志，并视设定将最旧的登录日志删除。 -------------------------------------------------------------------------------- 登录文件的纪录： syslogd [root@linux ~]# ps aux | grep syslog USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND root 11129 0.0 0.0 1616 204 ? Ss Oct03 0:01 syslogd -m 0 [root@linux ~]# chkconfig --list | grep syslog syslog 0:off 1:off 2:on 3:on 4:on 5:on 6:off -------------------------------------------------------------------------------- 登录日志内容的一般格式 一般来说，通常经过 syslog 而记录下来的数据主要有： 事件发生的日期与时间； 发生此事件的主机名称； 启动此事件的服务名称 (如 samba, xinetd 等) 或函数名称 (如 libpam ..)； 该信息数据内容。 [注]这些信息的『详细度』可以修改 例题:分析/var/log/secure [root@linux ~]# cat /var/log/secure Oct 16 10:16:13 linux sshd[3494]: Accepted password for dmtsai from 1 port 1037 ssh2 Oct 16 10:20:15 linux xinetd[21592]: START: shell pid=4176 from=1 说明的内容为：『时间在 Oct 16 10:16:13 (10/16, 10:16)时；由主机名称为 linux 的那部主机当中；由 sshd (且其 PID 为 3494) 那项服务所产生的一个信息；信息内容说明是：接受来自 1 连接至本机，使用 ssh2 联机机制，接受的用户为 dmtsai』。 登录日志的配置文件：/etc/syslog.conf /etc/syslog.conf 配置”哪些服务需要被纪录， 该服务产生的哪种信息要被纪录” 语法格式 服务名称[.=!]信息等级 信息记录的文件名或装置或主机 /var/log/maillog_info 说明如下： 服务名称 auth, authpriv：主要与认证有关的机制，例如 telnet, login, ssh 等需要认证的服务都是使用此一机制； cron：就是例行性命令 cron/at 等产生信息记录的地方； daemon：与各个 daemon 有关的信息； kern：就是核心 (kernel) 产生信息的地方； lpr：亦即是打印相关的信息啊！ mail：只要与邮件收发有关的信息纪录都属于这个； news：与新闻群组服务器有关的东西； syslog：就是 syslogd 这支程序本身产生的信息啊！ user, uucp, local0