網管主要靠系統的LOG,即我們時常所說的日志文件, 來獲得侵入的痕跡及你進來的IP,
或其他信息。當然也有些網管使用第三方工具來記錄侵入他電腦的痕跡,這裡主要要講的是一
般UNIX系統裡記錄你蹤跡的文件。
那到底這些LOG日志文件放在哪裡呢?這主要依靠的是你所進入的UNIX系統系統, 各個系
統有些不同的LOG文件,但大多數都應該有差不多的位置,最普通的位置如下:
/usr/adm - 早期版本的UNIX
/var/adm - 新一點的版本使用這個位置
/var/log - 一些版本的Solaris,Linux BSD,Free BSD使用這個位置
/etc - 多數UNIX版本把utmp放在這裡,有些也把wtmp放在這裡,syslog.conf在這裡
下面的一些文件根據你所在的目錄不同而不同:
acct 或 pacct -- 記錄每個用戶使用的命令記錄
Access_log -- 主要當服務器運行NCSA HTTPD時, 記錄什麼站點連接過你的服務器
aculog -- 保存著你撥出去的MODEMS記錄
lastlog -- 記錄了用戶最近的LOGIN記錄和每個用戶的最初目的地,有時是最後不
成功LOGIN的記錄
loginlog -- 記錄一些不正常的LOGIN記錄
messages -- 記錄輸出到系統控制台的記錄,另外的信息由syslog來生成
security -- 記錄一些使用UUCP系統企圖進入限制范圍的事例
sulog -- 記錄使用su命令的記錄
utmp -- 記錄當前登錄到系統中的所有用戶, 這個文件伴隨著用戶進入和離開
系統而不斷變化.
utmpx -- UTMP的擴展
wtmp -- 記錄用戶登錄和退出事件
syslog -- 最重要的日志文件,使用syslogd守護程序來獲得日志信息:
/dev/log -- 一個UNIX域套接字,接受在本地機器上運行的進程所產生的消息
/dev/klog -- 一個從UNIX內核接受消息的設備
514端口 -- 一個INTERNET套接字,接受其他機器通過UDP產生的syslog消息。
uucp -- 記錄的UUCP的信息,可以被本地UUCP活動更新, 也可有遠程站點發起
的動作修改,信息包括發出和接受的呼叫,發出的請求,發送者, 發
送時間和發送主機
lpd-errs -- 處理打印機故障信息的日志
FTP日志 -- 執行帶-l選項的ftpd能夠獲得記錄功能
httpd日志 -- HTTPD服務器在日志中記錄每一個WEB訪問記錄
history日志 -- 這個文件保存了用戶最近輸入命令的記錄
vold.log -- 記錄使用外接媒介時遇到的錯誤記錄
======================
其他類型的日志文件-
======================
有些類型的LOG文件沒有特定的標題,但開始於一個特定的標志, 你可以在前面頭發現如
下的標志,這就一般表示此是個LOG日志文件,你就可以編輯它了:
xfer -- 表明試圖一個禁止的文件傳輸.
rexe -- 表明試圖執行一個不允許的命令
還有許多其他其他類型的LOG文件存在,主要是第三方軟件引起的, 或者甚至他媽的網管
自己有設置了一只"眼睛"在他的系統上,所以你要對你認為可能是LOG文件的文件多一份心眼。
許多管理員喜歡把日志文件放在同一個目錄中以便管理, 所以你要檢查你發現的LOG文件所在
的目錄中,是否有其他日志文件放在這裡,如果有,咯,你知道怎麼做。
另一個你要注意的是有關LOG用戶MAIL的文件,此文件名可以多種多樣,或則有時是
syslog文件的一部分。你要知道syslog記錄那些信息, 你可以查看syslog.conf中的信息此文
件的目錄是在/etc中
======================
Windows NT的審計跟蹤
======================
幾乎WINDOWS NT系統中的每一項事務都可以在一定程度上被審計,在WINDOWS NT中可以在
兩個地方打開審計-EXPLORER 和USER MANAGER,在EXPLORER中,選擇Securtiy,再選擇
Auditing以幾乎Directory Auditing對話框,系統管理員可以在這個窗口選擇跟蹤有效的和無
效的文件訪問,在USER MANAGER中,系統管理員可以根據各種用戶事件的成功和失敗選擇審計
策略,如登錄和退出,文件訪問,權限非法和關閉系統等。
WINDOWS NT是使用一種特殊的格式存放它的日志文件,這種格式的文件可以被事件查看器
EVENT VIEWER讀取。事件查看器可以在ADMINISTRATIVE TOOL程序組中找到。 系統管理員可以
使用事件查看器的Filter選項根據一定條件選擇要查看的日志條目,查看條件包括類別,用戶
和消息類型。
WINDOWS NT 在三個分開的日志文件存放審計信息:
Application Log - 文件包括用NT SECURITY AUTHORITY注冊的應用程序產生的信息。
Security Log - 包括有關通過NT可識別安全提供者和客戶的系統訪問信息。
System Log - 包含所有系統相關事件的信息。
WINDOWS NT FTP連接的日志:
WINDOWS NT可以記錄入境的FTP連接,在注冊表中進行了修改後, 你可以是否記錄由匿名
的,正常用戶或者兩種用戶建立的連接,可以在事件查看器中查看這些日志條目。
WINDOWS NT的HTTPD事務
系統管理員可以使用NT的HTTPD服務在日志中記錄對特定文件的訪問企圖。 可以在控制面
板的HTTPD配置工具中選擇一個激活日志功能特性。