解剖Linux系統的LOG日誌檔案

2021-06-14 05:28:09 字數 2769 閱讀 9926

日誌檔案是專門用於記錄系統操作事件的記錄檔案或檔案集合,作業系統有作業系統日誌檔案,資料庫系統有資料庫系統日誌檔案,等等。今天介紹下log日誌檔案。

網管主要靠系統的log,即我們時常所說的日誌檔案, 來獲得侵入的痕跡及你進來的ip,或其他資訊。當然也有些網管使用第三方工具來記錄侵入他電腦的痕跡,這裡主要要講的是一般linux系統裡記錄你蹤跡的檔案。

那到底這些log日誌檔案放在**呢?這主要依靠的是你所進入的unix系統系統, 各個系統有些不同的log檔案,但大多數都應該有差不多的位置,最普通的位置如下:

/usr/adm - 早期版本的unix

/var/adm - 新一點的版本使用這個位置

/var/log - 一些版本的solaris,linux bsd,free bsd使用這個位置

/etc - 多數unix版本把utmp放在這裡,有些也把wtmp放在這裡,syslog.conf在這裡

下面的一些檔案根據你所在的目錄不同而不同:

acct 或 pacct -- 記錄每個使用者使用的命令記錄

access_log -- 主要當伺服器執行ncsa httpd時, 記錄什麼站點連線過你的伺服器

aculog -- 儲存著你呼出去的modems記錄

lastlog -- 記錄了使用者最近的login記錄和每個使用者的最初目的地,有時是最後不成功login的記錄

loginlog -- 記錄一些不正常的login記錄

messages -- 記錄輸出到系統控制台的記錄,另外的資訊由syslog來生成

security -- 記錄一些使用uucp系統企圖進入限制範圍的事例

sulog -- 記錄使用su命令的記錄

utmp -- 記錄當前登入到系統中的所有使用者, 這個檔案伴隨著使用者進入和離開系統而不斷變化.

utmpx -- utmp的擴充套件

wtmp -- 記錄使用者登入和退出事件

syslog -- 最重要的日誌檔案,使用syslogd守護程式來獲得日誌資訊:

/dev/log -- 乙個unix域套接字,接受在本地機器上執行的程序所產生的訊息

/dev/klog -- 乙個從unix核心接受訊息的裝置

514埠 -- 乙個internet套接字,接受其他機器通過udp產生的syslog訊息。

uucp -- 記錄的uucp的資訊,可以被本地uucp活動更新, 也可有遠端站點發起的動作修改,資訊包括發出和接受的呼叫,發出的請求,傳送者, 傳送時間和傳送主機

lpd-errs -- 處理印表機故障資訊的日誌

ftp日誌 -- 執行帶-l選項的ftpd能夠獲得記錄功能

httpd日誌 -- httpd伺服器在日誌中記錄每乙個web訪問記錄

history日誌 -- 這個檔案儲存了使用者最近輸入命令的記錄

vold.log -- 記錄使用外接媒介時遇到的錯誤記錄

********************==

其他型別的日誌檔案-

********************==

有些型別的log檔案沒有特定的標題,但開始於乙個特定的標誌, 你可以在前面頭發現如下的標誌,這就一般表示此是個log日誌檔案,你就可以編輯它了:

xfer -- 表明試圖乙個禁止的檔案傳輸.

rexe -- 表明試圖執行乙個不允許的命令

還有許多其他其他型別的log檔案存在,主要是第三方軟體引起的,或者甚至他媽的網管自己有設定了乙隻"眼睛"在他的系統上,所以你要對你認為可能是log檔案的檔案多乙份心眼。

許多管理員喜歡把日誌檔案放在同乙個目錄中以便管理,所以你要檢查你發現的log檔案所在的目錄中,是否有其他日誌檔案放在這裡,如果有,咯,你知道怎麼做。

另乙個你要注意的是有關log使用者mail的檔案,此檔名可以多種多樣,或則有時是syslog檔案的一部分。你要知道syslog記錄那些資訊, 你可以檢視syslog.conf中的資訊此檔案的目錄是在/etc中

********************==

windows nt的審計跟蹤

********************==

幾乎windows nt系統中的每一項事務都可以在一定程度上被審計,在windows nt中可以在兩個地方開啟審計-explorer 和user manager,在explorer中,選擇securtiy,再選擇auditing以幾乎directory auditing對話方塊,系統管理員可以在這個視窗選擇跟蹤有效的和無效的檔案訪問,在user manager中,系統管理員可以根據各種使用者事件的成功和失敗選擇審計策略,如登入和退出,檔案訪問,許可權非法和關閉系統等。

windows nt是使用一種特殊的格式存放它的日誌檔案,這種格式的檔案可以被事件檢視器event viewer讀取。事件檢視器可以在administrative tool程式組中找到。 系統管理員可以使用事件檢視器的filter選項根據一定條件選擇要檢視的日誌條目,檢視條件包括類別,使用者和訊息型別。

windows nt 在三個分開的日誌檔案存放審計資訊:

security log - 包括有關通過nt可識別安全提供者和客戶的系統訪問資訊。

system log - 包含所有系統相關事件的資訊。

windows nt ftp連線的日誌:

windows nt可以記錄入境的ftp連線,在登錄檔中進行了修改後, 你可以是否記錄由匿名的,正常使用者或者兩種使用者建立的連線,可以在事件檢視器中檢視這些日誌條目。

windows nt的httpd事務

系統管理員可以使用nt的httpd服務在日誌中記錄對特定檔案的訪問企圖。 可以在控制面板的httpd配置工具中選擇乙個啟用日誌功能特性。

通過上文我們知道了linux系統的log日誌檔案,希望對大家有所幫助。

如何檢視linux的系統log日誌

1.檢視系統日誌所存放的位置 通過nginx的配置檔案檢視 default access log var log nginx hej.access.log common 2.檢視系統日誌的格式 通過nginx的配置檔案檢視 nginx.conf。如果是apache,對應找到httpd檔案 log f...

Linux系統實現log日誌自動清理

在實際專案中由於伺服器記憶體有限,人工制定的定時清理時常會忘記。因此啟用linux系統定時任務去執行日誌清理功能。引用文獻 touch auto del log.sh 建立指令碼檔案 cd 進入該目錄 chmod x auto del log.sh 修改執行許可權vi auto del log.sh...

Linux 系統實現log日誌自動清理

linux系統實現log日誌自動清理 body body first child body last child p,blockquote,ul,ol,dl,table,pre h1,h2,h3,h4,h5,h6 h1 tt,h1 code,h2 tt,h2 code,h3 tt,h3 code,h...