文档介绍:时间:2022年3月8日
学海无涯
脚注:第-2-页共12页
Linux常见日志和常用命令
Linux日志都以明文形式存储,所以用户状态的程序,如who、w、users、finger等就需要访问这个文件。该日志文件并不能包括所有精确的信息,因为某些突发错误会终止用户登录会话linux 查看日志文件,而系统没有及时更新utmp记录,因此该日志文件的记录不是百分之百值得信赖的。
以上提及的3个文件(/var/log/wtmp、/var/run/utmp、/var/log/lastlog)是日志子系统的关键文件,都记录了用户登录的情况。这些文件的所有记录都包含了时间戳。这些文件是按二进制保存的,故不能用less、cat之类的命令直接查看这些文件,而是需要使用相关命令通过这些文件而查看。其中,utmp和wtmp文件的数据结构是一样的,而lastlog文件则使用另外的数据结构,关于它们的具体的数据结构可以使用man命令查询。
每次有一个用户登录时,login程序在文件lastlog中查看用户的UID。如果存在,则把用户上次登录、注销时间和主机名写到标准输出中,然后login程序在lastlog中记录新的登录时间,打开utmp文件并插入用户的utmp记录。该记录一直用到用户登录退出时删去。utmp文件被各种命令使用,包括who、w、users和finger。
下一步,login程序打开文件wtmp附加用户的utmp记录。当用户登录退出时,具有更新时间戳的同一utmp记录附加到文件中。wtmp文件被程序last使用。
时间:2022年3月8日
学海无涯
脚注:第-6-页共12页
#/var/log/xferlog
该日志文件记录FTP会话linux日志文件系统linux 查看日志文件,可以显示出用户向FTP服务器或从服务器拷贝了什么文件。该文件会显示用户拷贝到服务器上的用来入侵服务器的恶意程序,以及该用户拷贝了哪些文件供他使用。
该文件的格式为:第一个域是日期和时间,第二个域是下载文件所花费的秒数、远程系统名称、文件大小、本地路径名、传输类型(a:ASCII,b:二进制)、与压缩相关的标志或tar,或_(如果没有压缩的话)、传输方向(相对于服务器而言:i代表进,o代表出)、访问模式(a:匿名,g:输入口令,r:真实用户)、用户名、服务名(通常是ftp)、认证方法(l:RFC931,或0),认证用户的ID或*。
#/var/log/kernlog
Linux默认没有记录该日志文件。要启用该日志文件,必须在/etc/文件中添加一行:“kern.*/var/log/kernlog”。这样就启用了向/var/log/kernlog文件中记录所有内核消息的功能。该文件记录了系统启动时加载设备或使用设备的情况。一般是正常的操作,但如果记录了没有授权的用户进行的这些操作linux web服务器,就要注意RARFORLINUX,因为有可能这就是恶意用户的行为。
#/var/log/
该日志文件记录了X-Window启动的情况。另外,除了/var/log/外,恶意用户也可能在别的地方留下痕迹,应该注意以下几个地方:root和其他账户的shell历史文件;用户的各种邮箱,、mbox,以及储存在/var/spool/mail/和/var/spool/mqueue中的邮箱;临时文件/tmp、/usr/tmp、/var/tmp;隐藏的目录;其他恶意用户创建的文件,。
时间:2022年3月8日
学海无涯
脚注:第-6-页共12页
二、Linux常用的命令
wtmp和utmp文件都是二进制文件,它们不能被诸如tail之类的命令剪贴或合并(使用cat命令)。用户需要使用who、w、users、last和ac等命令来使用这两个文件包含的信息。
#who
who命令查询utmp文件并报告当前登录的每个用户,默认输出包括用户名、终端类型、登录日期及远程主机。例如,键入who命令,然后按回车键linux多线程,将显示如下内容:#who
root:0MayMay2010:45
rootpts/1May2010:45(:)
rootpts/2May2010:55(:)
如果指明了wtmp文件名linux日志文件系统LINUX社区,则who命令查询所有以前的记录。命令who/var/log/wtmp将报告自从wtmp文件创建或删改以来的每一