详解Linux系统日志管理(2)

rong 5 202.38.64.187Fri Aug 18 15:57:01 +0800 2000

dbb **Never logged in**

xinchen **Never logged in**

pb9511 **Never logged in**

xchen 0202.38.64.190 Sun Aug 13 10:01:22 +0800 2000

另外，可一加一些参数，例如，last -u 102将报告UID为102的用户；last -t 7表示限制上一周的报告。

进程统计

UNIX可以跟踪每个用户运行的每条命令，如果想知道昨晚弄乱了哪些重要的文件，进程统计子系统可以告诉你。日志系统管理分类它对还跟踪一个侵入者有帮助。与连接时间日志不同，进程统计子系统缺省不激活，它必须启动。在Linux系统中启动进程统计使用accton命令，必须用root身份来运行。Accton命令的形式accton file，file必须先存在。先使用touch命令来创建pacct文件：touch /var/log/pacct，然后运行accton： accton /var/log/pacct。一旦accton被激活，就可以使用lastcomm命令监测系统中任何时候执行的命令。若要关闭统计，可以使用不带任何参数的accton命令。

将以上代码复制在记事本内后“另存为”→“统计线段长度.lsp”打开cad，运行“appload”命令加载刚保存的“统计线段长度.lsp”文件按命令提示“程序：统计线段长度 命令：test”输入命令test选择要统计长度的线段即可。下面是find命令一些常用参数的例子，有用到的时候查查就行了，像上面前几个贴子，都用到了其中的的一些参数，也可以用man或查看论坛里其它贴子有find命令手册。windows\，那么在不带参数运行之后再加上/，如果重新启动就不会再出了，就可以进入系统了，一般它报的文件基本上都在系统的配置文件夹里，前提是你的系统里这个目录下windows\，修复完成后重新启动计算机，因为它损坏的多半是备份文件或者配置文件这类随软件启动就会改写的文件：\，比如很古老的深山红叶，报错的就是，进入控制台之后会停在 c、这个命令参数很多 /。

crond

F root ?? 0.00 secs Sun Aug 20 00:16

promisc_check.s S root ?? 0.04 secs Sun Aug 20 00:16

promisc_check root ?? 0.01 secs Sun Aug 20 00:16

greproot ?? 0.02 secs Sun Aug 20 00:16

tailroot ?? 0.01 secs Sun Aug 20 00:16

shroot ?? 0.01 secs Sun Aug 20 00:15

pingS root ?? 0.01 secs Sun Aug 20 00:15

ping6.plF root ?? 0.01 secs Sun Aug 20 00:15

sh root ?? 0.01 secs Sun Aug 20 00:15

pingS root ?? 0.02 secs Sun Aug 20 00:15

ping6.plF root ?? 0.02 secs Sun Aug 20 00:15

sh root ?? 0.02 secs Sun Aug 20 00:15

ping S root ?? 0.00 secs Sun Aug 20 00:15

ping6.pl F root ?? 0.01 secs Sun Aug 20 00:15

sh root ?? 0.01 secs Sun Aug 20 00:15

ping S root ?? 0.01 secs Sun Aug 20 00:15

sh root ?? 0.02 secs Sun Aug 20 00:15

ping S root ?? 1.34 secs Sun Aug 20 00:15

locate root ttyp0 1.34 secs Sun Aug 20 00:15

accton S root ttyp0 0.00 secs Sun Aug 20 00:15

进程统计的一个问题是pacct文件可能增长的十分迅速。这时需要交互式的或经过cron机制运行sa命令来保持日志数据在系统控制内。sa命令报告、清理并维护进程统计文件。它能把/var/log/pacct中的信息压缩到摘要文件/var/log/savacct和/var/log/usracct中。这些摘要包含按命令名和用户名分类的系统统计数据。日志系统管理分类sa缺省情况下先读它们，然后读pacct文件，使报告能包含所有的可用信息。sa的输出有下面一些标记项：

avio--每次执行的平均I/O操作次数

cp--用户和系统时间总和，以分钟计

cpu--和cp一样

k--内核使用的平均CPU时间，以1k为单位

k*sec--CPU存储完整性，以1k-core秒

re--实时时间，以分钟计

s--系统时间，以分钟计

tio--I/O操作的总数

u--用户时间，以分钟计

例如：

842 173.26re4.30cp 0avio 358k

2 10.98re 4.06cp 0avio 299k find

9 24.80re 0.05cp 0avio 291k ***other

105 30.44re 0.03cp 0avio 302k ping

104 30.55re 0.03cp 0avio 394k sh

162 0.11re 0.03cp 0avio 413k security.sh*

154 0.03re 0.02cp 0avio 273k ls

56 31.61re 0.02cp 0avio 823k ping6.pl*

2 3.23re 0.02cp 0avio 822k ping6.pl

35 0.02re 0.01cp 0avio 257k md5sum

97 0.02re 0.01cp 0avio 263k initlog

12 0.19re 0.01cp 0avio 399k promisc_check.s

15 0.09re 0.00cp 0avio 288k grep

11 0.08re 0.00cp 0avio 332k awk

用户还可以根据用户而不是命令来提供一个摘要报告。例如sa -m显示如下：

885 173.28re4.31cp 0avk

root879 173.23re

4.31cp 0avk

alias 3 0.05re 0.00cp 0avk

qmailp 3 0.01re 0.00cp 0avk

Syslog设备

Syslog已被许多日志函数采纳，它用在许多保护措施中--任何程序都可以通过syslog 纪录事件。Syslog可以纪录系统事件，可以写到一个文件或设备中，或给用户发送一个信息。它能纪录本地事件或通过网络纪录另一个主机上的事件。

Syslog设备依据两个重要的文件：/etc/syslogd（守护进程）和/etc/syslog.conf配置文件，习惯上，多数syslog 信息被写到/var/adm或/var/log目录下的信息文件中（messages.*）。一个典型的syslog纪录包括生成程序的名字和一个文本信息。它还包括一个设备和一个优先级范围（但不在日之中出现）。

每个syslog消息被赋予下面的主要设备之一：

LOG_AUTH--认证系统：login、su、getty等

LOG_AUTHPRIV--同LOG_AUTH，但只登录到所选择的单个用户可读的文件中

LOG_CRON--cron守护进程

LOG_DAEMON--其他系统守护进程，如routed

LOG_FTP--文件传输协议：ftpd、tftpd

LOG_KERN--内核产生的消息

LOG_LPR--系统打印机缓冲池：lpr、lpd

LOG_MAIL--电子邮件系统

LOG_NEWS--网络新闻系统

LOG_SYSLOG--由syslogd（8）产生的内部消息

LOG_USER--随机用户进程产生的消息

LOG_UUCP--UUCP子系统

LOG_LOCAL0~LOG_LOCAL7--为本地使用保留

Syslog为每个事件赋予几个不同的优先级：

LOG_EMERG--紧急情况

LOG_ALERT--应该被立即改正的问题，如系统破坏

LOG_CRIT--重要情况，如硬盘错误

LOG_ERR--错误

LOG_WARNING--警告信息

LOG_NOTICE--不是错误情况，但是可能需要处理

LOG_INFO--情报信息

LOG_DEBUG--包含情报的信息，通常旨在调试一个程序时使用

微内核构建了单个计算机中的c/s模式,程序借助微内核传递消息给操作系统的部件,例如程序想打开一个文件,那么它就会通过微内核给文件系统服务进程发送消息。在本程序中建立了两个消息函数，一个用于纪录鼠标、键盘的动作并保存，另一个用于将保存的动。在标识符中一个3位的域，设置传输过程的仲裁优先级，最高优先权为0级，最低优先权为7级。

#Log all the mail messages in one place

mail.* /var/log/maillog

在公司员工有级别之分，这个日志也是一样，他也有级别之分。您可以在运行时更改日志级别，方法就是发送 sigusr1 信号给 samba 进程来增加日志级别，或发送 sigusr2 减少日志级别。您可以在运行时更改日志级别，方法就是发送 sigusr1 信号给 samba 进程来增加日志级别，或发送 sigusr2 减少日志级别。

# Save mail and news errors of level err and higher in aspecial file.

uucp,news.crit /var/log/spooler

当一个紧急消息到来时，可能想让所有的用户都得到。也可能想让自己的日志接收并保存。

　　　　log file let you specify where to put logs and how to split them up. 　　 　　max log size let you specify the max size log files should reach 　　 　　 logs split per machine 　　log file /var/log/samba/log.%m 　　 max 50kb per log file, then rotate 　　max log size 50 。 it hums along nicely, taking between 2 and 5% of cpu in steady state, rather than bringing the machine to its knees every night. another added benefit of being on top of things is that the new messages are still fresh in the jet cache, so reading them doesn’。zero than the day before yesterday, he on duty in the emergency room. at that time the hospital has been relatively quiet. suddenly,slitting machine, the emergency room door opened, a man ran in a hurry, splash, fell to the ground.。

*.emerg *

*.emerg @linuxaid.com.cn

alert消息应该写到root和tiger的个人账号中：

#Root and Tiger get alert and higher messages

*.alert root,tiger

有时syslogd将产生大量的消息。例如内核（"kern"设备）可能很冗长。用户可能想把内核消息纪录到/dev/console中。下面的例子表明内核日志纪录被注释掉了：

#Log all kernel messages to the console

#Logging much else clutters up the screen

#kern.* /dev/console

用户可以在一行中指明所有的设备。下面的例子把info或更高级别的消息送到/var/log/messages，除了mail以外。级别"none"禁止一个设备：

#Log anything（except mail）of level info or higher

#Don't log private authentication messages!

*.info:mail.none;autHPriv.none /var/log/messages

在有些情况下，可以把日志送到打印机，这样网络入侵者怎么修改日志都没有用了。通常要广泛纪录日志。Syslog设备是一个攻击者的显著目标。一个为其他主机维护日志的系统对于防范服务器攻击特别脆弱，因此要特别注意。

有个小命令logger为syslog（3）系统日志文件提供一个shell命令接口，使用户能创建日志文件中的条目。用法：logger 例如：logger This is a test！

它将产生一个如下的syslog纪录：Aug 19 22:22:34 tiger: This is a test!

注意不要完全相信日志，因为攻击者很容易修改它的。

程序日志

许多程序通过维护日志来反映系统的安全状态。su命令允许用户获得另一个用户的权限，所以它的安全很重要，它的文件为sulog。同样的还有sudolog。另外，想Apache有两个日志：access_log和error_log。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-96956-2.html