Freebsd 系统日志分æž
Freebsd 系统日志分æž
系统日志对于æœåŠ¡å™¨å®‰å…¨æ¥è¯´éžå¸¸é‡è¦,它记录了系统æ¯å¤©å‘生的å„ç§å„æ ·çš„äº‹æƒ…,我们å¯ä»¥é€šè¿‡æ£€æŸ¥ç³»ç»Ÿæ—¥å¿—æ¥åˆ†æžé”™è¯¯çš„åŽŸå› ,查看å—到攻击时,攻击者留下的痕迹,还å¯ä»¥å®žæ—¶ç›‘测系统状æ€ï¼Œç›‘测和追踪入侵者ç‰ç‰.
日志主è¦åˆ†ä¸‰éƒ¨åˆ†:
1.连接时间日志,由loginç‰ç¨‹åºæ›´æ–°ï¼Œä½¿ç³»ç»Ÿç®¡ç†å‘˜èƒ½å¤Ÿè·Ÿè¸ªè°åœ¨ä½•æ—¶ç™»å½•åˆ°ç³»ç»Ÿï¼Œçºªå½•å†™å…¥åˆ°/var/log/wtmpå’Œ/var/run/utmp。
2.错误日志–由syslogd(8)执行。å„ç§ç³»ç»Ÿå®ˆæŠ¤è¿›ç¨‹ã€ç”¨æˆ·ç¨‹åºå’Œå†…æ ¸é€šè¿‡syslogå‘文件/var/log/messages报告值得注æ„的事件。
3.å¦å¤–有许多UNIX程åºåˆ›å»ºæ—¥å¿—。åƒHTTPå’ŒFTPè¿™æ ·æ供网络æœåŠ¡çš„æœåŠ¡å™¨ä¹Ÿä¿æŒè¯¦ç»†çš„日志。
常用的系统日志包括:
access-log 记录http/webçš„ä¼ è¾“
acct/pact
记录用户命令
aculog
记录MODEM的活动
btmp
记录失败的纪录
lastlog
è®°å½•æœ€è¿‘å‡ æ¬¡æˆåŠŸç™»å½•çš„事件和最åŽä¸€æ¬¡ä¸æˆåŠŸçš„登录
messages
从syslogä¸è®°å½•ä¿¡æ¯ï¼ˆæœ‰çš„链接到syslog文件)
sudolog
记录使用sudoå‘出的命令
sulog
记录使用su命令的使用
syslog
从syslogä¸è®°å½•ä¿¡æ¯ï¼ˆé€šå¸¸é“¾æŽ¥åˆ°messages文件)
utmp
记录当å‰ç™»å½•çš„æ¯ä¸ªç”¨æˆ·
wtmp
一个用户æ¯æ¬¡ç™»å½•è¿›å…¥å’Œé€€å‡ºæ—¶é—´çš„永久记录
xferlog
记录ftp会è¯
系统日志大多为二进制形å¼ï¼Œä¸èƒ½ä½¿ç”¨tailå’Œcatç‰å‘½ä»¤æŸ¥çœ‹ï¼Œä½†æ˜¯æˆ‘们å¯ä»¥ä½¿ç”¨ä»¥ä¸‹å‘½ä»¤åŽ»èŽ·å–å…¶ä¸çš„ä¿¡æ¯ï¼Œä¸»è¦ä¸ºwhoã€wã€usersã€lastå’Œac。
who:who命令查询utmp文件并报告当å‰ç™»å½•çš„æ¯ä¸ªç”¨æˆ·ã€‚Who的缺çœè¾“出包括用户åã€ç»ˆç«¯ç±»åž‹ã€ç™»å½•æ—¥æœŸåŠè¿œç¨‹ä¸»æœºã€‚æ ¼å¼ï¼šwho /var/log/wtmp 或者who /var/run/utmp
w:w命令查询utmp文件并显示当å‰ç³»ç»Ÿä¸æ¯ä¸ªç”¨æˆ·å’Œå®ƒæ‰€è¿è¡Œçš„进程信æ¯ã€‚
users:users用å•ç‹¬çš„一行打å°å‡ºå½“å‰ç™»å½•çš„用户,æ¯ä¸ªæ˜¾ç¤ºçš„用户å对应一个登录会è¯ã€‚
last:last命令往回æœç´¢wtmpæ¥æ˜¾ç¤ºè‡ªä»Žæ–‡ä»¶ç¬¬ä¸€æ¬¡åˆ›å»ºä»¥æ¥ç™»å½•è¿‡çš„用户,还å¯ä»¥æŒ‡æ˜ŽæŸä¸€ç”¨æˆ·ï¼Œä¾‹ï¼šlast aaa
ac:acå‘½ä»¤æ ¹æ®å½“å‰çš„/var/log/wtmp文件ä¸çš„登录进入和退出æ¥æŠ¥å‘Šç”¨æˆ·è¿žç»“的时间(å°æ—¶ï¼‰ï¼Œå¦‚æžœä¸ä½¿ç”¨æ ‡å¿—,则报告总的时间。例如 :
ac 回车  显示
total
111.73
ac –d 回车 显示
Jan
2
total
70.45
Jan
3
total
41.35
ac -p (回车)显示 æ¯ä¸ªç”¨æˆ·çš„总的连接时间
日志主è¦åˆ†ä¸‰éƒ¨åˆ†:
1.连接时间日志,由loginç‰ç¨‹åºæ›´æ–°ï¼Œä½¿ç³»ç»Ÿç®¡ç†å‘˜èƒ½å¤Ÿè·Ÿè¸ªè°åœ¨ä½•æ—¶ç™»å½•åˆ°ç³»ç»Ÿï¼Œçºªå½•å†™å…¥åˆ°/var/log/wtmpå’Œ/var/run/utmp。
2.错误日志–由syslogd(8)执行。å„ç§ç³»ç»Ÿå®ˆæŠ¤è¿›ç¨‹ã€ç”¨æˆ·ç¨‹åºå’Œå†…æ ¸é€šè¿‡syslogå‘文件/var/log/messages报告值得注æ„的事件。
3.å¦å¤–有许多UNIX程åºåˆ›å»ºæ—¥å¿—。åƒHTTPå’ŒFTPè¿™æ ·æ供网络æœåŠ¡çš„æœåŠ¡å™¨ä¹Ÿä¿æŒè¯¦ç»†çš„日志。
常用的系统日志包括:
access-log 记录http/webçš„ä¼ è¾“
acct/pact
记录用户命令
aculog
记录MODEM的活动
btmp
记录失败的纪录
lastlog
è®°å½•æœ€è¿‘å‡ æ¬¡æˆåŠŸç™»å½•çš„事件和最åŽä¸€æ¬¡ä¸æˆåŠŸçš„登录
messages
从syslogä¸è®°å½•ä¿¡æ¯ï¼ˆæœ‰çš„链接到syslog文件)
sudolog
记录使用sudoå‘出的命令
sulog
记录使用su命令的使用
syslog
从syslogä¸è®°å½•ä¿¡æ¯ï¼ˆé€šå¸¸é“¾æŽ¥åˆ°messages文件)
utmp
记录当å‰ç™»å½•çš„æ¯ä¸ªç”¨æˆ·
wtmp
一个用户æ¯æ¬¡ç™»å½•è¿›å…¥å’Œé€€å‡ºæ—¶é—´çš„永久记录
xferlog
记录ftp会è¯
系统日志大多为二进制形å¼ï¼Œä¸èƒ½ä½¿ç”¨tailå’Œcatç‰å‘½ä»¤æŸ¥çœ‹ï¼Œä½†æ˜¯æˆ‘们å¯ä»¥ä½¿ç”¨ä»¥ä¸‹å‘½ä»¤åŽ»èŽ·å–å…¶ä¸çš„ä¿¡æ¯ï¼Œä¸»è¦ä¸ºwhoã€wã€usersã€lastå’Œac。
who:who命令查询utmp文件并报告当å‰ç™»å½•çš„æ¯ä¸ªç”¨æˆ·ã€‚Who的缺çœè¾“出包括用户åã€ç»ˆç«¯ç±»åž‹ã€ç™»å½•æ—¥æœŸåŠè¿œç¨‹ä¸»æœºã€‚æ ¼å¼ï¼šwho /var/log/wtmp 或者who /var/run/utmp
w:w命令查询utmp文件并显示当å‰ç³»ç»Ÿä¸æ¯ä¸ªç”¨æˆ·å’Œå®ƒæ‰€è¿è¡Œçš„进程信æ¯ã€‚
users:users用å•ç‹¬çš„一行打å°å‡ºå½“å‰ç™»å½•çš„用户,æ¯ä¸ªæ˜¾ç¤ºçš„用户å对应一个登录会è¯ã€‚
last:last命令往回æœç´¢wtmpæ¥æ˜¾ç¤ºè‡ªä»Žæ–‡ä»¶ç¬¬ä¸€æ¬¡åˆ›å»ºä»¥æ¥ç™»å½•è¿‡çš„用户,还å¯ä»¥æŒ‡æ˜ŽæŸä¸€ç”¨æˆ·ï¼Œä¾‹ï¼šlast aaa
ac:acå‘½ä»¤æ ¹æ®å½“å‰çš„/var/log/wtmp文件ä¸çš„登录进入和退出æ¥æŠ¥å‘Šç”¨æˆ·è¿žç»“的时间(å°æ—¶ï¼‰ï¼Œå¦‚æžœä¸ä½¿ç”¨æ ‡å¿—,则报告总的时间。例如 :
ac 回车  显示
total
111.73
ac –d 回车 显示
Jan
2
total
70.45
Jan
3
total
41.35
ac -p (回车)显示 æ¯ä¸ªç”¨æˆ·çš„总的连接时间