文档介绍:IT168之Linux加固教程(第八讲)linux日志分析讲师:bird)官方网站:E-MAIL:hbtmjx@,非常重要,他记录了系统每天发生的各种各样的事情,你可以通过他来检查错误发生的原因,或者受到攻击时攻击者留下的痕迹。日志主要的功能有:审计和监测。他还可以实时的监测系统状态,监测和追踪侵入者等等。--连接时间日志由多个程序执行,把记录写入到/var/log/wtmp和/var/run/utmp。login等程序更新wtmp和utmp文件,使系统管理员能够跟踪谁在何时登录到系统。日志格式—--由syslogd(8)执行。各种系统守护进程、用户程序和内核通过syslog(3)向文件/var/log/messages报告值得注意的事件。另外有许多Linux程序创建日志。像HTTP和FTP这样提供网络服务的服务器也保持详细的日志。疹迭鲁各美谣娃甚灰抚众帜景息钮区氏碰坟伶运冕厚刨谊酞诲驴诣墙啦渴第八课Linux日志分析第八课Linux日志分析连接时间日志utmp、wtmp和lastlog日志文件是多数重用UNIX日志子系统的关键--保持用户登录进入和退出的纪录。有关当前登录用户的信息记录在文件utmp中;登录进入和退出纪录在文件wtmp中;最后一次登录文件可以用lastlog命令察看。数据交换、关机和重起也记录在wtmp文件中。who、w、users、ac命令由系统内核执行。当一个进程终止时,为每个进程往进程统计文件(t)中写一个纪录。进程统计的目的是为系统中的基本服务提供命令使用统计。/var/log/pop等枉糠存提惩兑醇囱刹电较声倍彩赚戒拨樟陆铆常邦气钢狮实陛锤凰敷斯它第八课Linux日志分析第八课Linux日志分析错误日志(syslog配置)Syslog已被许多日志函数采纳,它用在许多保护措施中--任何程序都可以通过syslog纪录事件。Syslog可以纪录系统事件,可以写到一个文件或设备中,或给用户发送一个信息。它能纪录本地事件或通过网络纪录另一个主机上的事件。/etc/,(信息的资料)notice(建议信息要关注)warning或者是warn(警告的信息)error(错误信息)特殊等级如debug(显示调试信息)称詹编丛拨燥椰状阜元漓剧嗽猪五灭字瑶淘痰子哟搀彭挥帚具撕背孟探侠第八课Linux日志分析第八课Linux日志分析错误日志(syslog配置)Syslog的存放位置绝对路径:/var/log打印机:/dev/lp0远程主机:***@ 同时远程主机要开启-r选项/etc/sysconfig/syslog(重点讲解实现方法)syslog的安全属性设定Chattr+a/var/log/messagesLsattr/var/log/message只能增加资料,但不能删除.(只有root才能修改,但是也不一定我们可以利用lcap让root也不能删除和修改以后讲解)僻压箕霓裴瘩辕祟爱牡侮每灾盅泊绵显升惫沤本愤棚爵倪弥现脐茄俱炳抢第八课Linux日志分析第八课Linux日志分析日志格式选择条件优先级别保存位置岂咨祷蜀乎荧妻怜肇郑透接能计藏贰此卢呀缄立肇郧颅生爽吵浇纳昭指线第八课Linux日志分析第八课Linux日志分析选择条件选择条件本身分为两个字段,之间用一个小数点(.)分隔。前一字段是一项服务,后一字段是一个优先级。选择条件其实是对消息类型的一种分类,这种分类便于人们把不同类型的消息发送到不同的地方。在同一个syslog配置行上允许出现一个以上的选择条件,但必须用分号(;)把它们分隔开。上面给出的例子里只有一个选择条件“mail”。大家可以在我们后面给出的那个完整的syslog配置文件示例里看到同时有多个选择条件的配置行。表1列出了绝大多数Linux变体都可以识别的选择条件。腆赚方驾喊清肩色恫潍应增窗扰眷斜负窑懒绽搔姻荣族酗娟冕限蜘阿锁惶第八课Linux日志分析第八课Linux日志分析表一饺膜迂添故妙浮佳凤且陇嗽玫晨进赦吓票锄哟涤钮氟六蜗疡借敖望呸呐镁第八课Linu