歡迎來到Linux教程網
Linux教程網
Linux教程網
Linux教程網
您现在的位置: Linux教程網 >> UnixLinux >  >> Linux綜合 >> Linux資訊 >> 更多Linux

Liunx系統的LOG日志文件

  網管主要靠系統的LOG,即我們時常所說的日志文件, 來獲得侵入的痕跡及你進來的IP, 或其他信息。當然也有些網管使用第三方工具來記錄侵入他電腦的痕跡,這裡主要要講的是一 般UNIX系統裡記錄你蹤跡的文件。 那到底這些LOG日志文件放在哪裡呢?這主要依靠的是你所進入的UNIX系統系統, 各個系 統有些不同的LOG文件,但大多數都應該有差不多的位置,最普通的位置如下: /usr/adm - 早期版本的UNIX /var/adm - 新一點的版本使用這個位置 /var/log - 一些版本的Solaris,Linux BSD,Free BSD使用這個位置 /etc - 多數UNIX版本把utmp放在這裡,有些也把wtmp放在這裡,syslog.conf在這裡 下面的一些文件根據你所在的目錄不同而不同: acct 或 pacct -- 記錄每個用戶使用的命令記錄 Access_log -- 主要當服務器運行NCSA HTTPD時, 記錄什麼站點連接過你的服務器 aculog -- 保存著你撥出去的MODEMS記錄 lastlog -- 記錄了用戶最近的LOGIN記錄和每個用戶的最初目的地,有時是最後不 成功LOGIN的記錄 loginlog -- 記錄一些不正常的LOGIN記錄 messages -- 記錄輸出到系統控制台的記錄,另外的信息由syslog來生成 security -- 記錄一些使用UUCP系統企圖進入限制范圍的事例 sulog -- 記錄使用su命令的記錄 utmp -- 記錄當前登錄到系統中的所有用戶, 這個文件伴隨著用戶進入和離開 系統而不斷變化. utmpx -- UTMP的擴展 wtmp -- 記錄用戶登錄和退出事件 syslog -- 最重要的日志文件,使用syslogd守護程序來獲得日志信息: /dev/log -- 一個UNIX域套接字,接受在本地機器上運行的進程所產生的消息 /dev/klog -- 一個從UNIX內核接受消息的設備 514端口 -- 一個INTERNET套接字,接受其他機器通過UDP產生的syslog消息。 uucp -- 記錄的UUCP的信息,可以被本地UUCP活動更新, 也可有遠程站點發起 的動作修改,信息包括發出和接受的呼叫,發出的請求,發送者, 發 送時間和發送主機 lpd-errs -- 處理打印機故障信息的日志 FTP日志 -- 執行帶-l選項的ftpd能夠獲得記錄功能 httpd日志 -- HTTPD服務器在日志中記錄每一個WEB訪問記錄 history日志 -- 這個文件保存了用戶最近輸入命令的記錄 vold.log -- 記錄使用外接媒介時遇到的錯誤記錄 ====================== 其他類型的日志文件- ====================== 有些類型的LOG文件沒有特定的標題,但開始於一個特定的標志, 你可以在前面頭發現如 下的標志,這就一般表示此是個LOG日志文件,你就可以編輯它了: xfer -- 表明試圖一個禁止的文件傳輸. rexe -- 表明試圖執行一個不允許的命令 還有許多其他其他類型的LOG文件存在,主要是第三方軟件引起的, 或者甚至他媽的網管 自己有設置了一只"眼睛"在他的系統上,所以你要對你認為可能是LOG文件的文件多一份心眼。 許多管理員喜歡把日志文件放在同一個目錄中以便管理, 所以你要檢查你發現的LOG文件所在 的目錄中,是否有其他日志文件放在這裡,如果有,咯,你知道怎麼做。 另一個你要注意的是有關LOG用戶MAIL的文件,此文件名可以多種多樣,或則有時是 syslog文件的一部分。你要知道syslog記錄那些信息, 你可以查看syslog.conf中的信息此文 件的目錄是在/etc中 ====================== Windows NT的審計跟蹤 ====================== 幾乎WINDOWS NT系統中的每一項事務都可以在一定程度上被審計,在WINDOWS NT中可以在


兩個地方打開審計-EXPLORER 和USER MANAGER,在EXPLORER中,選擇Securtiy,再選擇 Auditing以幾乎Directory Auditing對話框,系統管理員可以在這個窗口選擇跟蹤有效的和無 效的文件訪問,在USER MANAGER中,系統管理員可以根據各種用戶事件的成功和失敗選擇審計 策略,如登錄和退出,文件訪問,權限非法和關閉系統等。 WINDOWS NT是使用一種特殊的格式存放它的日志文件,這種格式的文件可以被事件查看器 EVENT VIEWER讀取。事件查看器可以在ADMINISTRATIVE TOOL程序組中找到。 系統管理員可以 使用事件查看器的Filter選項根據一定條件選擇要查看的日志條目,查看條件包括類別,用戶 和消息類型。 WINDOWS NT 在三個分開的日志文件存放審計信息: Application Log - 文件包括用NT SECURITY AUTHORITY注冊的應用程序產生的信息。 Security Log - 包括有關通過NT可識別安全提供者和客戶的系統訪問信息。 System Log - 包含所有系統相關事件的信息。 WINDOWS NT FTP連接的日志: WINDOWS NT可以記錄入境的FTP連接,在注冊表中進行了修改後, 你可以是否記錄由匿名 的,正常用戶或者兩種用戶建立的連接,可以在事件查看器中查看這些日志條目。 WINDOWS NT的HTTPD事務 系統管理員可以使用NT的HTTPD服務在日志中記錄對特定文件的訪問企圖。 可以在控制面 板的HTTPD配置工具中選擇一個激活日志功能特性。





Copyright © Linux教程網 All Rights Reserved