Sep 4 17:23:52 UNIX sendmail[1950]: g849Npp01950: from=root, size=25, class=0, nrcpts=1, msgid=<[email protected]>, relay=root@localhost Sep 4 17:23:55 UNIX sendmail[1950]: g849Npp01950: [email protected], ctladdr=root (0/0), delay=00:00:04, xdelay=00:00:03, mailer=esmtp, pri=30025, relay=fcceec.net. [10.152.8.2], dsn=2.0.0, stat=Sent (Message queued) /var/log/messages 該日志文件是許多進程日志文件的匯總,從該文件可以看出任何入侵企圖或成功的入侵。如以下幾行:
Sep 3 08:30:17 UNIX login[1275]: FAILED LOGIN 2 FROM (null) FOR suying, Authentication failure Sep 4 17:40:28 UNIX -- suying[2017]: LOGIN ON pts/1 BY suying FROM fcceec.www.ec8.pfcc.com.cn Sep 4 17:40:39 UNIX su(pam_unix)[2048]: session opened for user root by suying(uid=999) 該文件的格式是每一行包含日期、主機名、程序名,後面是包含PID或內核標識的方括號、一個冒號和一個空格,最後是消息。該文件有一個不足,就是被記錄的入侵企圖和成功的入侵事件,被淹沒在大量的正常進程的記錄中。但該文件可以由/etc/syslog文件進行定制。由/etc/syslog.conf配置文件決定系統如何寫入/var/messages。有關如何配置/etc/syslog.conf文件決定系統日志記錄的行為,將在後面詳細敘述。 /var/log/syslog 默認RedHat Linux不生成該日志文件,但可以配置/etc/syslog.conf讓系統生成該日志文件。它和/etc/log/messages日志文件不同,它只記錄警告信息,常常是系統出問題的信息,所以更應該關注該文件。要讓系統生成該日志文件,在/etc/syslog.conf文件中加上:*.warning /var/log/syslog 該日志文件能記錄當用戶登錄時login記錄下的錯誤口令、Sendmail的問題、su命令執行失敗等信息。下面是一條記錄:
Sep 6 16:47:52 UNIX login(pam_unix)[2384]: check pass; user unknown /var/log/secure 該日志文件記錄與安全相關的信息。該日志文件的部分內容如下:Sep 4 16:05:09 UNIX xinetd[711]: START: FTP pid=1815 from=127.0.0.1 Sep 4 16:05:09 UNIX xinetd[1815]:USERID: ftp OTHER :root Sep 4 16:07:24 UNIX xinetd[711]: EXIT: ftp pid=1815 duration=135(sec) Sep 4 16:10:05 UNIX xinetd[711]: START: ftp pid=1846 from=127.0.0.1 Sep 4 16:10:05 UNIX xinetd[1846]: USERID: ftp OTHER :root Sep 4 16:16:26 UNIX xinetd[711]: EXIT: ftp pid=1846 duration=381(sec) Sep 4 17:40:20UNIX xinetd[711]: START: telnet pid=2016 from=10.152.8.2 /var/log/lastlog
該日志文件記錄最近成功登錄的事件和最後一次不成功的登錄事件,由login生成。在每次用戶登錄時被查詢,該文件是二進制文件,需要使用lastlog命令查看,根據UID排序顯示登錄名、端口號和上次登錄時間。如果某用戶從來沒有登錄過,就顯示為"**Never logged in**"。該命令只能以root權限執行。簡單地輸入lastlog命令後就會看到類似如下的信息:Username Port From Latest root tty2 Tue Sep 3 08:32:27 +0800 2002 bin **Never logged in** daemon **Never logged in** adm **Never logged in** lp **Never logged in** sync **Never logged in** shutdown **Never logged in** halt **Never logged in** mail **Never logged in** news **Never logged in** uUCp **Never logged in** operator **Never logged in** games **Never logged in** gopher **Never logged in** ftp ftp UNIX Tue Sep 3 14:49:04 +0800 2002 nobody **Never logged in** nscd **Never logged in** mailnull **Never logged in** ident **Never logged in** rpc **Never logged in** rpcuser **Never logged in** xfs **Never logged in** gdm **Never logged in** postgres **Never logged in** apache **Never logged in** lzy tty2 Mon Jul 15 08:50:37 +0800 2002 suying tty2 Tue Sep 3 08:31:17 +0800 2002 系統賬戶諸如bin、daemon、adm、uucp、mail等決不應該登錄,如果發現這些賬戶已經登錄,就說明系統可能已經被入侵了。若發現記錄的時間不是用戶上次登錄的時間,則說明該用戶的賬戶已經洩密了。 /var/log/wtmp 該日志文件永久記錄每個用戶登錄、注銷及系統的啟動、停機的事件。因此隨著系統正常運行時間的增加,該文件的大小也會越來越大,增加的速度取決於系統用戶登錄的次數。該日志文件可以用來查看用戶的登錄記錄,last命令就通過訪問這個文件獲得這些信息,並以反序從後向前顯示用戶的登錄記錄,last也能根據用戶、終端 tty或時間顯示相應的記錄。 命令last有兩個可選參數: last -u 用戶名 顯示用戶上次登錄的情況。 last -t 天數 顯示指定天數之前的用戶登錄情況。 /var/run/utmp 該日志文件記錄有關當前登錄的每個用戶的信息。因此這個文件會隨著用戶登錄和注銷系統而不斷變化,它只保留當時聯機的用戶記錄,不會為用戶保留永久的記錄。系統中需要查詢當前用戶狀態的程序,如 who、w、users、finger等就需要訪問這個文件。該日志文件並不能包括所有精確的信息,因為某些突發錯誤會終止用戶登錄會話,而系統沒有及時更新 utmp記錄,因此該日志文件的記錄不是百分之百值得信賴的。 以上提及的3個文件(/var/log/wtmp、/var/run/utmp、/var/log/lastlog)是日志子系統的關鍵文件,都記錄了用戶登錄的情況。這些文件的所有記錄都包含了時間戳。這些文件是按二進制保存的,故不能用less、cat之類的命令直接查看這些文件,而是需要使用相關命令通過這些文件而查看。其中,utmp和wtmp文件的數據結構是一樣的,而lastlog文件則使用另外的數據結構,關於它們的具體的數據結構可以使用man命令查詢。 每次有一個用戶登錄時,login程序在文件lastlog中查看用戶的UID。如果存在,則把用戶上次登錄、注銷時間和主機名寫到標准輸出中,然後login程序在lastlog中記錄新的登錄時間,打開utmp文件並插入用戶的utmp記錄。該記錄一直用到用戶登錄退出時刪除。utmp文件被各種命令使用,包括who、w、users和finger。 下一步,login程序打開文件wtmp附加用戶的utmp記錄。當用戶登錄退出時,具有更新時間戳的同一utmp記錄附加到文件中。wtmp文件被程序last使用。 /var/log/xferlog 該日志文件記錄FTP會話,可以顯示出用戶向FTP服務器或從服務器拷貝了什麼文件。該文件會顯示用戶拷貝到服務器上的用來入侵服務器的惡意程序,以及該用戶拷貝了哪些文件供他使用。 該文件的格式為:第一個域是日期和時間,第二個域是下載文件所花費的秒數、遠程系統名稱、文件大小、本地路徑名、傳輸類型(a:ASCII,b:二進制)、與壓縮相關的標志或tar,或"_"(如果沒有壓縮的話)、傳輸方向(相對於服務器而言:i代表進,o代表出)、訪問模式(a:匿名,g:輸入口令,r:真實用戶)、用戶名、服務名(通常是ftp)、認證方法(l:RFC931,或0),認證用戶的ID或"*"。下面是該文件的一條記錄:
Wed Sep 4 08:14:03 2002 1 UNIX 275531 /var/ftp/lib/libnss_files-2.2.2.so b _ o a -root@UNIX ftp 0 * c /var/log/kernlog RedHat Linux默認沒有記錄該日志文件。要啟用該日志文件,必須在/etc/syslog.conf文件中添加一行:kern.* /var/log/kernlog 。這樣就啟用了向/var/log/kernlog文件中記錄所有內核消息的功能。該文件記錄了系統啟動時加載設備或使用設備的情況。一般是正常的操作,但如果記錄了沒有授權的用戶進行的這些操作,就要注意,因為有可能這就是惡意用戶的行為。下面是該文件的部分內容:
Sep 5 09:38:42 UNIX kernel: NET4: Linux TCP/IP 1.0 for NET4.0 Sep 5 09:38:42 UNIX kernel: IP Protocols: ICMP, UDP, TCP, IGMP Sep 5 09:38:42 UNIX kernel: IP: routing cache hash table of 512 buckets, 4Kbytes Sep 5 09:38:43 UNIX kernel: TCP: Hash tables configured (established 4096 bind 4096) Sep 5 09:38:43 UNIX kernel: Linux IP multicast router 0.06 plus PIM-SM Sep 5 09:38:43 UNIX kernel: NET4: Unix domain sockets 1.0/SMP for Linux NET4.0. Sep 5 09:38:44 UNIX kernel: EXT2-fs warning: checktime reached, running e2fsck is recommended Sep 5 09:38:44 UNIX kernel: VFS: Mounted root (ext2 filesystem). Sep 5 09:38:44 UNIX kernel: SCSI subsystem driver Revision: 1.00 /var/log/Xfree86.x.log 該日志文件記錄了X-Window啟動的情況。另外,除了/var/log/外,惡意用戶也可能在別的地方留下痕跡,應該注意以下幾個地方:root和其他賬戶的shell歷史文件;用戶的各種郵箱,如.sent、mbox,以及存放在/var/spool/mail/ 和 /var/spool/mqueue中的郵箱;臨時文件/tmp、/usr/tmp、/var/tmp;隱藏的目錄;其他惡意用戶創建的文件,通常是以"."開頭的具有隱藏屬性的文件等。 具體命令 wtmp和utmp文件都是二進制文件,它們不能被諸如tail之類的命令剪貼或合並(使用cat命令)。用戶需要使用who、w、users、last和ac等命令來使用這兩個文件包含的信息。 who命令 who命令查詢utmp文件並報告當前登錄的每個用戶。who的默認輸出包括用戶名、終端類型、登錄日期及遠程主機。例如,鍵入who命令,然後按回車鍵,將顯示如下內容:
chyang pts/0 Aug 18 15:06 ynguo pts/2 Aug 18 15:32 ynguo pts/3 Aug 18 13:55 lewis pts/4 Aug 18 13:35 ynguo pts/7 Aug 18 14:12 ylou pts/8 Aug 18 14:15 如果指明了wtmp文件名,則who命令查詢所有以前的記錄。命令who /var/log/wtmp將報告自從wtmp文件創建或刪改以來的每一次登錄。 w命令 w命令查詢utmp文件並顯示當前系統中每個用戶和它所運行的進程信息。例如,鍵入w命令,然後按回車鍵,將顯示如下內容:
3:36pm up 1 day, 22:34, 6 users, load average: 0.23, 0.29, 0.27 USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT chyang pts/0 202.38.68.242 3:06pm 2:04 0.08s 0.04s -bash ynguo pts/2 202.38.79.47 3:32pm 0.00s 0.14s 0.05 w lewis pts/3 202.38.64.233 1:55pm 30:39 0.27s 0.22s -bash lewis pts/4 202.38.64.233 1:35pm 6.00s 4.03s 0.01s sh /home/users/ ynguo pts/7 simba.nic.ustc.e 2:12pm 0.00s 0.47s 0.24s telnet mail ylou pts/8 202.38.64.235 2:15pm 1:09m 0.10s 0.04s -bash users命令 users命令用單獨的一行打印出當前登錄的用戶,每個顯示的用戶名對應一個登錄會話。如果一個用戶有不止一個登錄會話,那他的用戶名將顯示相同的次數。例如,鍵入users命令,然後按回車鍵,將顯示如下內容: chyang lewis lewis ylou ynguo ynguo last命令 last命令往回搜索wtmp來顯示自從文件第一次創建以來登錄過的用戶。例如:
chyang pts/9 202.38.68.242 Tue Aug 1 08:34 - 11:23 (02:49) cfan pts/6 202.38.64.224 Tue Aug 1 08:33 - 08:48 (00:14) chyang pts/4 202.38.68.242 Tue Aug 1 08:32 - 12:13 (03:40) lewis pts/3 202.38.64.233 Tue Aug 1 08:06 - 11:09 (03:03) lewis pts/2 202.38.64.233 Tue Aug 1 07:56 - 11:09 (03:12) 如果指明了用戶,那麼last只報告該用戶的近期活動,例如,鍵入last ynguo命令,然後按回車鍵,將顯示如下內容:
ynguo pts/4 simba.nic.ustc.e Fri Aug 4 16:50 - 08:20 (15:30) ynguo pts/4 simba.nic.ustc.e Thu Aug 3 23:55 - 04:40 (04:44) ynguo pts/11 simba.nic.ustc.e Thu Aug 3 20:45 - 22:02 (01:16) ynguo pts/0 simba.nic.ustc.e Thu Aug 3 03:17 - 05:42 (02:25) ynguo pts/0 simba.nic.ustc.e Wed Aug 2 01:04 - 03:16 1+02:12) ynguo pts/0 simba.nic.ustc.e Wed Aug 2 00:43 - 00:54 (00:11) ynguo pts/9 simba.nic.ustc.e Thu Aug 1 20:30 - 21:26 (00:55) ac命令 ac命令根據當前的/var/log/wtmp文件中的登錄進入和退出來報告用戶連接的時間(小時),如果不使用標志,則報告總的時間。例如,鍵入ac命令,然後按回車鍵,將顯示如下內容: total 5177.47 鍵入ac -d命令,然後按回車鍵,將顯示每天的總的連接時間:
Aug 12 total 261.87 Aug 13 total 351.39 Aug 14 total 396.09 Aug 15 total 462.63 Aug 16 total 270.45 Aug 17 total 104.29 Today total 179.02 鍵入ac -p命令,然後按回車鍵,將顯示每個用戶的總的連接時間:
ynguo 193.23 yucao 3.35 rong 133.40 hdai 10.52 zjzhu 52.87 zqzhou 13.14 liangliu 24.34 total 5178.24 lastlog命令 lastlog文件在每次有用戶登錄時被查詢。可以使用lastlog命令檢查某特定用戶上次登錄的時間,並格式化輸出上次登錄日志/var/log/lastlog的內容。它根據UID排序顯示登錄名、端口號(tty)和上次登錄時間。如果一個用戶從未登錄過,lastlog顯示**Never logged**。注意需要以root身份運行該命令,例如:
rong 5 202.38.64.187 Fri Aug 18 15:57:01 +0800 2000 dbb **Never logged in** xinchen **Never logged in** pb9511 **Never logged in** xchen 0 202.38.64.190 Sun Aug 13 10:01:22 +0800 2000 另外,可加一些參數,例如,"last -u 102"命令將報告UID為102的用戶;"last -t 7"命令表示限制為上一周的報告。 進程統計 UNIX可以跟蹤每個用戶運行的每條命令,如果想知道昨晚弄亂了哪些重要的文件,進程統計子系統可以告訴你。它還對跟蹤一個侵入者有幫助。與連接時間日志不同,進程統計子系統默認不激活,它必須啟動。在Linux系統中啟動進程統計使用accton命令,必須用root身份來運行。accton命令的形式為:accton file,file必須事先存在。先使用touch命令創建pacct文件:touch /var/log/pacct,然後運行accton:accton /var/log/pacct。一旦accton被激活,就可以使用lastcomm命令監測系統中任何時候執行的命令。若要關閉統計,可以使用不帶任何參數的accton命令。 lastcomm命令報告以前執行的文件。不帶參數時,lastcomm命令顯示當前統計文件生命周期內記錄的所有命令的有關信息。包括命令名、用戶、tty、命令花費的CPU時間和一個時間戳。如果系統有許多用戶,輸入則可能很長。看下面的例子:
crond F root ?? 0.00 secs Sun Aug 20 00:16 promisc_check.s S root ?? 0.04 secs Sun Aug 20 00:16 promisc_check root ?? 0.01 secs Sun Aug 20 00:16 grep root ?? 0.02 secs Sun Aug 20 00:16 tail root ?? 0.01 secs Sun Aug 20 00:16 sh root ?? 0.01 secs Sun Aug 20 00:15 ping S root ?? 0.01 secs Sun Aug 20 00:15 ping6.pl F root ?? 0.01 secs Sun Aug 20 00:15 sh root ?? 0.01 secs Sun Aug 20 00:15 ping S root ?? 0.02 secs Sun Aug 20 00:15 ping6.pl F root ?? 0.02 secs Sun Aug 20 00:15 sh root ?? 0.02 secs Sun Aug 20 00:15 ping S root ?? 0.00 secs Sun Aug 20 00:15 ping6.pl F root ?? 0.01 secs Sun Aug 20 00:15 sh root ?? 0.01 secs Sun Aug 20 00:15 ping S root ?? 0.01 secs Sun Aug 20 00:15 sh root ?? 0.02 secs Sun Aug 20 00:15 ping S root ?? 1.34 secs Sun Aug 20 00:15 locate root ttyp0 1.34 secs Sun Aug 20 00:15 accton S root ttyp0 0.00 secs Sun Aug 20 00:15 進程統計的一個問題是pacct文件可能增長得十分迅速。這時需要交互式地或經過cron機制運行sa命令來保證日志數據在系統控制內。sa命令報告、清理並維護進程統計文件。它能把/var/log/pacct中的信息壓縮到摘要文件/var/log/savacct和/var/log/usracct中。這些摘要包含按命令名和用戶名分類的系統統計數據。在默認情況下sa先讀它們,然後讀pacct文件,使報告能包含所有的可用信息。sa的輸出有下面一些標記項。avio:每次執行的平均I/O操作次數。 cp:用戶和系統時間總和,以分鐘計。 cpu:和cp一樣。 k:內核使用的平均CPU時間,以1k為單位。 k*sec:CPU存儲完整性,以1k-core秒為單位。 re:實時時間,以分鐘計。 s:系統時間,以分鐘計。 tio:I/O操作的總數。 u:用戶時間,以分鐘計。 例如:
842 173.26re 4.30cp 0avio 358k 2 10.98re 4.06cp 0avio 299k find 9 24.80re 0.05cp 0avio 291k ***other 105 30.44re 0.03cp 0avio 302k ping 104 30.55re 0.03cp 0avio 394k sh 162 0.11re 0.03cp 0avio 413k security.sh* 154 0.03re 0.02cp 0avio 273k ls 56 31.61re 0.02cp 0avio 823k ping6.pl* 2 3.23re 0.02cp 0avio 822k ping6.pl 35 0.02re 0.01cp 0avio 257k md5sum 97 0.02re 0.01cp 0avio 263k initlog 12 0.19re 0.01cp 0avio 399k promisc_check.s 15 0.09re 0.00cp 0avio 288k grep 11 0.08re 0.00cp 0avio 332k awk 用戶還可以根據用戶而不是命令來提供一個摘要報告。例如,鍵入命令"sa -m",將顯示如下內容:
885 173.28re 4.31cp 0avk root 879 173.23re 4.31cp 0avk alias 3 0.05re 0.00cp 0avk qmailp 3 0.01re 0.00cp 0avk QQRead.com 推出數據恢復指南教程 數據恢復指南教程 數據恢復故障解析 常用數據恢復方案 硬盤數據恢復教程 數據保護方法 數據恢復軟件 專業數據恢復服務指南 syslog設備 syslog已被許多日志函數采納,它用在許多保護措施中。任何程序都可以通過syslog 記錄事件。syslog可以記錄系統事件,可以寫到一個文件或設備中,或給用戶發送一個信息。它能記錄本地事件或通過網絡記錄另一個主機上的事件。 syslog設備依據兩個重要的文件:/etc/syslogd(守護進程)和/etc/syslog.conf配置文件。習慣上,多數syslog信息被寫到/var/adm或/var/log目錄下的信息文件中(messages.*)。一個典型的syslog記錄包括生成程序的名字和一個文本信息。它還包括一個設備和一個優先級范圍(但不在日志中出現)。 每個syslog消息被賦予下面的主要設備之一:
LOG_AUTH:認證系統login、su、getty等。 LOG_AUTHPRIV:同LOG_AUTH,但只登錄到所選擇的單個用戶可讀的文件中。 LOG_CRON:cron守護進程。 LOG_DAEMON:其他系統守護進程,如routed。 LOG_FTP:文件傳輸協議ftpd、tftpd。 LOG_KERN:內核產生的消息。 LOG_LPR:系統打印機緩沖池lpr、lpd。 LOG_MAIL:電子郵件系統。 LOG_NEWS:網絡新聞系統。 LOG_SYSLOG:由syslogd(8)產生的內部消息。 LOG_USER:隨機用戶進程產生的消息。 LOG_UUCP:UUCP子系統。 LOG_LOCAL0~LOG_LOCAL7:為本地使用保留。 syslog為每個事件賦予幾個不同的優先級: LOG_EMERG:緊急情況。 LOG_ALERT:應該被立即改正的問題,如系統數據庫被破壞。 LOG_CRIT:重要情況,如硬盤錯誤。 LOG_ERR:錯誤。 LOG_WARNING:警告信息。 LOG_NOTICE:不是錯誤情況,但是可能需要處理。 LOG_INFO:情報信息。 LOG_DEBUG:包含情報的信息,通常只在調試一個程序時使用。 syslog.conf文件指明syslogd程序記錄日志的行為,該程序在啟動時查詢配置文件。該文件由不同程序或消息分類的單個條目組成,每個占一行。對每類消息提供一個選擇域和一個動作域。這些域由tab符隔開:選擇域指明消息的類型和優先級;動作域指明syslogd接收到一個與選擇標准相匹配的消息時所執行的動作。每個選項是由設備和優先級組成的。當指明一個優先級時,syslogd將記錄一個擁有相同或更高優先級的消息。所以如果指明"crit",那所有標為crit、alert和emerg的消息將被記錄。每行的行動域指明當選擇域選擇了一個給定消息後應該把它發送到哪兒。例如,如果想把所有郵件消息記錄到一個文件中,如下所示:
#Log all the mail messages in one place mail.* /var/log/maillog 其他設備也有自己的日志。UUCP和news設備能產生許多外部消息。它把這些消息存到自己的日志(/var/log/spooler)中並把級別限為"err"或更高。例如:
# Save mail and news errors of level err and higher in ASPecial file. uucp,news.crit /var/log/spooler 當一個緊急消息到來時,可能想讓所有的用戶都得到,也可能想讓自己的日志接收並保存:
#Everybody gets emergency messages, plus log them on anther machine *.emerg * *.emerg @linuxaid.com.cn alert消息應該寫到root和tiger的個人賬號中:
#Root and Tiger get alert and higher messages *.alert root,tiger 有時syslogd將產生大量的消息。例如,內核("kernel"設備)可能很冗長。用戶可能想把內核消息記錄到/dev/console中。下面的例子表明內核日志記錄被注釋掉了:
#Log all kernel messages to the console #Logging much else clutters up the screen #kern.* /dev/console QQRead.com 推出數據恢復指南教程 數據恢復指南教程 數據恢復故障解析 常用數據恢復方案 硬盤數據恢復教程 數據保護方法 數據恢復軟件 專業數據恢復服務指南 用戶可以在一行中指明所有的設備。下面的例子把info或更高級別的消息送到/var/log/messages,除了mail以外。級別"none"禁止一個設備:
#Log anything(except mail)of level info or higher #Don't log private authentication messages! *.info:mail.none;authpriv.none /var/log/messages 在有些情況下,可以把日志送到打印機,這樣網絡入侵者怎麼修改日志就都沒有用了。通常要廣泛記錄日志。syslog設備是一個攻擊者的顯著目標。一個為其他主機維護日志的系統對於防范服務器攻擊特別脆弱,因此要特別注意。 有個小命令logger為syslog(3)系統日志文件提供一個shell命令接口,使用戶能創建日志文件中的條目。 用法:logger 例如:logger This is a test! 它將產生一個如下的syslog記錄:Aug 19 22:22:34 tiger: This is a test! 注意,不要完全相信日志,因為攻擊者很容易修改它的。 程序日志與其他 許多程序通過維護日志來反映系統的安全狀態。su命令允許用戶獲得另一個用戶的權限,所以它的安全很重要,它的日志文件為sulog。同樣的還有sudolog。另外,像Apache有兩個日志:Access_log和error_log。還有一些常用到的其他日志工具,我們就不一一闡述了,有興趣的讀者可以參考下邊網址的內容。 Chklastlog: ftp://coast.cs.purdue.edu/pub/tools/unix/chklastlog/ chkwtmp: ftp://coast.cs.purdue.edu/pub/tools/unix/chkwtmp/ dump_lastlog: ftp://coast.cs.purdue.edu/pub/tools/unix/dump_lastlog.Z spar: ftp://coast.cs.purdue.edu/pub/tools/unix/TAMU/ Swatch: http://www.lomar.org/komar/alek/pres/swatch/cover.Html Zap: ftp://caost.cs.purdue.edu/pub/tools/unix/zap.tar.gz 日志分類方法: http://csrc.nist.gov/nissc/1998/proceedings/paperD1.pdf