如何看FreeBSD的系統(tǒng)日志
由于FreeBSD是一個多用戶系統(tǒng)���,那么就需要管理員進行日常維護,特別是用做網(wǎng)絡(luò)服務(wù)器的系統(tǒng)�����,一旦因為缺乏維護而造成停機故障�����,就會造成很大損失�����。即使對于單用戶的FreeBSD系統(tǒng)���,同樣也要執(zhí)行這些不可缺乏的維護任務(wù)���,只是由于系統(tǒng)歸個人使用, 那么對維護的要求就不必那么高���,維護任務(wù)就輕松一些����。
系統(tǒng)日志
系統(tǒng)的日志記錄提供了對系統(tǒng)活動的詳細審計�����,這些日志用于評估����、審查系統(tǒng)的運行環(huán)境和各種操作�����。對于一般情況,日志記錄包括記錄用戶登錄時間�����、登錄地點�、進行什么操作等內(nèi)容���,如果使用得當,日志記錄能向系統(tǒng)管理員提供有關(guān)危害安全的侵害或入侵試圖等非常有用的信息��。
BSD提供了詳細的各種日志記錄��,以及有關(guān)日志的大量工具和實用程序。這些審計記錄通常由程序自動產(chǎn)生�,是缺省設(shè)置的一部分,能夠幫助Unix管理員來尋找系統(tǒng)中存在的問題���,對系統(tǒng)維護十分有用。還有另一些日志記錄���,需要管理員進行設(shè)置才能生效����。
大部分日志記錄文件被保存在/var/log目錄中,在這個目錄中除了保存系統(tǒng)生成日志之外��,還包括一些應(yīng)用軟件的日志文件。當然/var目錄下的其他子目錄中也會記錄下一些其他種類的日志記錄文件��,這依賴于具體的應(yīng)用程序的設(shè)置��。
$ ls /var/log
adduser maillog.5.gz sendmail.st.1
dmesg.today maillog.6.gz sendmail.st.10
dmesg.yesterday maillog.7.gz sendmail.st.2
httpd-access.log messages sendmail.st.3
httpd-error.log messages.0.gz sendmail.st.4
kerberos.log messages.1.gz sendmail.st.5
lastlog messages.2.gz sendmail.st.6
lpd-errs messages.3.gz sendmail.st.7
maillog messages.4.gz sendmail.st.8
maillog.0.gz messages.5.gz sendmail.st.9
maillog.1.gz news setuid.today
maillog.2.gz ppp.log setuid.yesterday
maillog.3.gz sendmail.st userlog
maillog.4.gz sendmail.st.0 wtmp
系統(tǒng)登錄日志
系統(tǒng)會保存每個用戶的登錄記錄����,這些信息包括這個用戶的名字、登錄起始結(jié)束時間以及從何處登錄入系統(tǒng)的等等�����。它們被保存到/var/log/lastlog����、/var/log/wtmp和/
var/run/utmp文件中,這三個文件以二進制格式保存了這些用戶的登錄數(shù)據(jù)���。
其中/var/run/utmp文件中保存的是當前系統(tǒng)用戶的登錄記錄��,因此這個文件會隨著用戶進入和離開系統(tǒng)而不斷變化�,而它也不會為用戶保留很長的記錄�,只保留當時聯(lián)機的用戶記錄��。系統(tǒng)中需要查詢當前用戶狀態(tài)的程序���,如 who�����、w等就需要訪問這個文件。
utmp可能不包括所有精確的信息��,某些突發(fā)錯誤會終止用戶登錄會話,當沒有及時更新utmp記錄��,因此utmp的記錄不是百分之百的可以信賴的�。
而/var/log/wtmp保存了所有的登錄、退出信息���,以及系統(tǒng)的啟動��、停機記錄�,因此隨著系統(tǒng)正常運行時間的增加�����,它的大小也會越來越大����,增加的速度依賴于系統(tǒng)用戶登錄次數(shù)���。因此可以利用這個日志用來查看用戶的登錄記錄,last命令就通過訪問這個文件來獲得這些信息����,并以反序從后向前顯示用戶的登錄記錄,last也能根據(jù)用戶���、終端tty或時間顯示相應(yīng)的記錄�。ac命令同樣也使用wtmp中的數(shù)據(jù)產(chǎn)生報告�����,但它的顯示方式不同���。它可以根據(jù)用戶(ac -p)�,或按日期(ap -d)顯示信息���,這樣管理員就能獲得一些非常有用的反常信息,如一個平時不太活躍的用戶突然登錄并連接很長時間�,就有理由懷疑這個帳戶被竊取了。
注意:X Window由于會同時打開多個終端窗口����,因此會使得用戶登錄連接時間迅速增加。
lastlog文件保存的是每個用戶的最后一次登錄信息�,包括登錄時間和地點,這個文件一般只有l(wèi)ogin程序使用�,通過用戶的UID���,來在lastlog文件中查找相應(yīng)記錄�����,然后報告其最后一次登錄時間和終端tty���。然后���, login程序就使用新的記錄更新這個文件。
這三個文件是使用二進制格式保存的��,因此不能直接查看其中的內(nèi)容����,而需要使用相關(guān)命令�。當然也可以通過程序來訪問這三個文件,這就需要了解它們使用的數(shù)據(jù)結(jié)構(gòu)�����。其中utmp和wtmp使用同樣的數(shù)據(jù)結(jié)構(gòu)�����,而lastlog使用另外一個數(shù)據(jù)結(jié)構(gòu),可使用man來進行查詢具體結(jié)構(gòu)�。如果系統(tǒng)的用戶數(shù)量很多�����,那么wtmp文件的大小會迅速增加�����,在系統(tǒng)/var文件系統(tǒng)空間緊張的情況下��,就導(dǎo)致這個文件系統(tǒng)被占滿�。系統(tǒng)不會主動控制這個文件的大小,因此這需要管理員的干預(yù)�����,需要手工及時清除��,或編寫shell腳本定期保存和清除����。
系統(tǒng)還可以提供記賬統(tǒng)計的功能����,要打開系統(tǒng)的計賬功能�����,需要使用accton命令,注意�����,accton必須跟隨記賬日志文件的名字作參數(shù)�,而不帶參數(shù)的accton將關(guān)閉記賬進程�。
當打開了記賬功能后,可以使用lastcomm來檢查在系統(tǒng)中執(zhí)行的所有命令的信息�����,包括執(zhí)行的命令���、執(zhí)行命令的用戶、用戶使用的終端tty��,命令完成的時間��,執(zhí)行時間等��。從lastcomm的輸出也能幫助管理員檢查可能的入侵行為��。
此外可以使用ac命令來查詢用戶的連接時間的報告�����,sa命令來查詢用戶消耗的處理器時間的報告��。
Syslog日志記錄
最初�����,syslog只是為了sendmail而設(shè)計的消息日志工具���,由于它提供了一個中心控制點����,使得sys log非常好用和易配置�����,因此當今很多程序都使用syslog來發(fā)送它們的記錄信息。syslog是一種強大的日志記錄方式��,不但可以將日志保存在本地文件中���,還可以根據(jù)設(shè)置將syslog記錄發(fā)送到網(wǎng)絡(luò)上的另一臺主機中。
支持syslog方式的系統(tǒng)啟動了syslogd守護進程����,這個程序從本地的Unix套接字和監(jiān)聽在514端口(UDP)上的Internet套接字����,來獲得syslog的記錄。本機中進程使用syslog系統(tǒng)調(diào)用發(fā)送來sy slog記錄�,然后由syslogd將他們保存到正確的文件或發(fā)送到網(wǎng)絡(luò)上另一臺運行syslogd主機中去。
syslogd的設(shè)置文件為/etc/syslog.conf����,定義消息對應(yīng)的相應(yīng)目標����,一條消息可以達到多個目標,也可能被忽略�。
# $Id: syslog.conf,v 1.9 1998/10/14 21:59:55 nate Exp $
#
# Spaces are NOT valid fIEld separators in this file.
# Consult the syslog.conf(5) manpage.
*.err;kern.debug;auth.notice;mail.crit /dev/console
*.notice;kern.debug;lpr.info;mail.crit;news.err /var/log/messages
mail.info /var/log/maillog
lpr.info /var/log/lpd-errs
cron.* /var/cron/log
*.err root
*.notice;news.err root
*.alert root
*.emerg *
!ppp
*.* /var/log/ppp.log
syslog.conf的配置可以分為兩個部分,第一部分用于區(qū)分消息的類型�,另一個用于設(shè)置消息發(fā)送的目的地。通常��,消息的類型包括消息的產(chǎn)生者��,例如kern表示內(nèi)核產(chǎn)生的消息�,auth表示認證系統(tǒng)產(chǎn)生的消息�����,等等����,還包括消息的級別����,例如emerg表示非常
重要的緊急信息,alert表示系統(tǒng)告警狀態(tài)����,crit表示關(guān)鍵狀態(tài)�,err 表示一般的錯誤信息,warning表示警告信息�,notice表示提示信息,但還不是錯誤��,info表示一般信息���,debug表示調(diào)試信息等��,因此一個消息的類型可能為:kern.debug��、mail.info等,但是可以使用通配符*進行匹配���。
從上面的syslog.conf的設(shè)置可以看出,系統(tǒng)正常運行中的很多重要的信息��,如錯誤信息*.err�����、內(nèi)核調(diào)試信息kern.debuf����、認證報告auth.notice等被直接輸出的console中�,另外還有一些比較重要的信息被輸出到/var/log/messages文件中����,發(fā)送郵件的記錄將被保存在/var/log/mail log文件中�,打印記錄為/var/log/lpd-errs等,使得管理員可以根據(jù)這些文件來查詢相關(guān)記錄����,進行統(tǒng)計或?qū)ふ蚁到y(tǒng)問題。其中使用syslog記錄的messages文件中包括root登錄的信息�、用戶多次登錄失敗的嘗試等對系統(tǒng)安全相當重要的
信息,因此也是系統(tǒng)遭受攻擊之后��,攻擊者會根據(jù)syslog.conf中設(shè)置試圖清除相關(guān)文件中自己的登錄記錄���。因此對于安全性要求更高的系統(tǒng),可以嘗試將syslog發(fā)送到另一臺計算機上���,或者輸出到一些設(shè)備文件中���,如在打印機上立即打印輸出�。
系統(tǒng)會使用newsyslog定期檢查syslog輸出的messages文件和maillog文件��,將舊數(shù)據(jù)壓縮保存為備份文件�����,如messages.1.gz等���。
其他日志
除了系統(tǒng)登錄記錄和syslog記錄之外���,其他還有一些應(yīng)用程序使用自己的記錄方式���。
系統(tǒng)每天都會自動檢查系統(tǒng)的安全設(shè)置,包括對SetUID�����、SetGID的執(zhí)行文件的檢查���,其結(jié)果將輸出到/ var/log/security.today文件中,管理員可以與/var/log/security.yeste rday文件對比����,尋找系統(tǒng)安全設(shè)置的變化��。
如果系統(tǒng)使用sendmail,那么sendmail.st文件中以二進制形式保存了sendmail的統(tǒng)計信息�����。
在系統(tǒng)啟動的時候��,就將內(nèi)核的檢測信息輸出到屏幕上�,這些信息可以幫助用戶分析系統(tǒng)中的硬件狀態(tài)。一般使用d mesg命令來查看最后一次啟動時輸出的這個檢測信息��。這個信息也被系統(tǒng)保存在/var/log/dmesg.tod ay文件中����,系統(tǒng)中同時也存在另一個文件dmesg.yesterday,是上次的啟動檢測信息�����,對比這兩個文件����,就可以了解到系統(tǒng)硬件和內(nèi)核配置的變化。
lpd-errs記錄了系統(tǒng)中l(wèi)pd產(chǎn)生的錯誤信息�����。
此外�,各種shell還會記錄用戶使用的命令歷史,它使用用戶主目錄下的文件來記錄這些命令歷史����,通常這個文件的名字為.history(csh)��,或.bash-history等。
|
愛妮
|
|
智慧家居顛覆傳統(tǒng)智能家居
智慧云谷讓智能家居變成有智慧的
智慧云谷引領(lǐng)智慧家居新生活
科技改變生活 智慧云谷智慧家居系
智慧家居領(lǐng)航者��,智慧云谷助你玩
智能家居如何贏得市場美譽度�����?
智慧云谷智慧家居:創(chuàng)業(yè)者有無限
WiFi智能家居你還在用�����?這樣的智
互聯(lián)網(wǎng)+助推智能家居產(chǎn)業(yè)
智慧云谷為您打造真正的智能家居
智能家居產(chǎn)業(yè)需要的不是單品���,而
新家如何選擇開關(guān)?智慧云谷iWis
智能傳感器-世界首款“智”為你的
智慧云谷開關(guān)智能安防智能空氣質(zhì)
智能開關(guān)品牌����,如何選擇智能開關(guān)
秋季干燥,智慧家居溫濕度傳感器
傳感器助力智慧家居 感知愛家
iWiscloud智能觸摸開關(guān)締造家居裝
※室內(nèi)空氣污染的危害及 [sensor]
※超聲波風速傳感器在生 [sensor]
※這么冷清 [gabc111]
※手機APP操作有問題 [ssy11407]
※智慧云谷智慧家居將在 [cici]
※上傳下載 [cici]
※下載智慧家居 [apple2008]
※秋季干燥��,智慧家居溫 [apple2008]
※智慧家居緊扣熱點 安全 [apple2008]
※辦公大樓如何智慧化管 [apple2008]
※智慧云谷工業(yè)自控的優(yōu) [apple2008]
※傳感器助力智慧家居 感 [apple2008]
※智能開關(guān)品牌�,如何選 [apple2008]
※智慧云谷開關(guān)智能安防 [apple2008]
※沒有專業(yè)人員����,如何安 [apple2008]
※煙臺智慧云谷董事長任 [apple2008]
※互聯(lián)網(wǎng)+助推智能家居產(chǎn) [apple2008]
※WiFi智能家居你還在用 [apple2008]
※智慧云谷智慧家居:創(chuàng) [apple2008]
※智能家居如何贏得市場 [apple2008]
|
】
備案證號:37020020091219