Linux系统日志查看

LinuxLinux 系统日志查看系统日志查看 Linux 系统中的日志子系统对于系统安全来说非常重要 它记录了系统每天 发生的各种各样的事情 包括那些用户曾经或者正在使用系统 可以通过日志 来检查错误发生的原因 更重要的是在系统受到黑客攻击后 日志可以记录下 攻击者留下的痕迹 通过查看这些痕迹 系统管理员可以发现黑客攻击的某些 手段以及特点 从而能够进行处理工作 为抵御下一次攻击做好准备 在 Linux 系统中 有三类主要的日志子系统 连接时间日志 由多个程序执行 把记录写入到 var log wtmp 和 var run utmp login 等程序会更新 wtmp 和 utmp 文件 使系统管理员能够跟 踪谁在何时登录到系统 进程统计 由系统内核执行 当一个进程终止时 为每个进程往进程统计文 件 pacct 或 acct 中写一个记录 进程统计的目的是为系统中的基本服务提 供命令使用统计 错误日志 由 syslogd 8 守护程序执行 各种系统守护进程 用户程序 和内核通过 syslogd 3 守护程序向文件 var log messages 报告值得注意的 事件 另外有许多 Unix 程序创建日志 像 HTTP 和 FTP 这样提供网络服务的服 务器也保持详细的日志 Linux 下日志的使用 1 基本日志命令的使用 utmp wtmp 日志文件是多数 Linux 日志子系统的关键 它保存了用户登录进入 和退出的记录 有关当前登录用户的信息记录在文件 utmp 中 登录进入和退出 记录在文件 wtmp 中 数据交换 关机以及重启的机器信息也都记录在 wtmp 文 件中 所有的记录都包含时间戳 时间戳对于日志来说非常重要 因为很多攻 击行为分析都是与时间有极大关系的 这些文件在具有大量用户的系统中增长 十分迅速 例如 wtmp 文件可以无限增长 除非定期截取 许多系统以一天或者 一周为单位把 wtmp 配置成循环使用 它通常由 cron 运行的脚本来修改 这些 脚本重新命名并循环使用 wtmp 文件 utmp 文件被各种命令文件使用 包括 who w users 和 finger 而 wtmp 文件 被程序 last 和 ac 使用 但它们都是二进制文件 不能被诸如 tail 命令剪贴或 合并 使用 cat 命令 用户需要使用 who w users last 和 ac 来使用这两 个文件包含的信息 具体用法如下 who 命令 who 命令查询 utmp 文件并报告当前登录的每个用户 Who 的缺省输 出包括用户名 终端类型 登录日期及远程主机 使用该命令 系统管理员可 以查看当前系统存在哪些不法用户 从而对其进行审计和处理 例如 运行 who 命令显示如下 root working who root pts 0 May 9 21 11 10 0 2 128 root pts 1 May 9 21 16 10 0 2 129 lhwen pts 7 May 9 22 03 10 0 2 27 如果指明了 wtmp 文件名 则 who 命令查询所有以前的记录 例如命令 who var log wtmp 将报告自从 wtmp 文件创建或删改以来的每一次登录 日志使用注意事项 系统管理人员应该提高警惕 随时注意各种可疑状况 并且按时和随机地检查 各种系统日志文件 包括一般信息日志 网络连接日志 文件传输日志以及用 户登录日志等 在检查这些日志时 要注意是否有不合常理的时间记载 例如 用户在非常规的时间登录 不正常的日志记录 比如日志的残缺不全或者是诸如 wtmp 这样的日志文件 无故地缺少了中间的记录文件 用户登录系统的 IP 地址和以往的不一样 用户登录失败的日志记录 尤其是那些一再连续尝试进入失败的日志记录 非法使用或不正当使用超级用户权限 su 的指令 无故或者非法重新启动各项网络服务的记录 另外 尤其提醒管理人员注意的是 日志并不是完全可靠的 高明的黑客在入 侵系统后 经常会打扫现场 所以需要综合运用以上的系统命令 全面 综合 地进行审查和检测 切忌断章取义 否则很难发现入侵或者做出错误的判断 users 命令 users 用单独的一行打印出当前登录的用户 每个显示的用户名对 应一个登录会话 如果一个用户有不止一个登录会话 那他的用户名将显示相 同的次数 运行该命令将如下所示 root working users root root 只登录了一个 Root 权限的用户 last 命令 last 命令往回搜索 wtmp 来显示自从文件第一次创建以来登录过的 用户 系统管理员可以周期性地对这些用户的登录情况进行审计和考核 从而 发现其中存在的问题 确定不法用户 并进行处理 运行该命令 如下所示 root working last devin pts 1 10 0 2 221 Mon Jul 21 15 08 down 8 17 46 devin pts 1 10 0 2 221 Mon Jul 21 14 42 14 53 00 11 changyi pts 2 10 0 2 141 Mon Jul 21 14 12 14 12 00 00 devin pts 1 10 0 2 221 Mon Jul 21 12 51 14 40 01 49 reboot system boot 2 4 18 Fri Jul 18 15 42 11 17 13 reboot system boot 2 4 18 Fri Jul 18 15 34 00 04 reboot system boot 2 4 18 Fri Jul 18 15 02 00 36 读者可以看到 使用上述命令显示的信息太多 区分度很小 所以 可以通过 指明用户来显示其登录信息即可 例如 使用 last devin 来显示 devin 的历史 登录信息 则如下所示 root working last devin devin pts 1 10 0 2 221 Mon Jul 21 15 08 down 8 17 46 devin pts 1 10 0 2 221 Mon Jul 21 14 42 14 53 00 11 ac 命令 ac 命令根据当前的 var log wtmp 文件中的登录进入和退出来报告用 户连接的时间 小时 如果不使用标志 则报告总的时间 另外 可以加一 些参数 例如 last t 7 表示显示上一周的报告 lastlog 命令 lastlog 文件在每次有用户登录时被查询 可以使用 lastlog 命 令检查某特定用户上次登录的时间 并格式化输出上次登录日志 var log lastlog 的内容 它根据 UID 排序显示登录名 端口号 tty 和上 次登录时间 如果一个用户从未登录过 lastlog 显示 Never logged 注意需要以 root 身份运行该命令 运行该命令如下所示 root working lastlog Username Port From Latest root pts 1 10 0 2 129 二 5 月 10 10 13 26 0800 2005 opal pts 1 10 0 2 129 二 5 月 10 10 13 26 0800 2005 2 使用 Syslog 设备 Syslog 已被许多日志函数采纳 被用在许多保护措施中 任何程序都可以通过 syslog 记录事件 Syslog 可以记录系统事件 可以写到一个文件或设备中 或给用户发送一个信息 它能记录本地事件或通过网络记录另一个主机上的事 件 Syslog 设备核心包括一个守护进程 etc syslogd 守护进程 和一个配置文件 etc syslog conf 配置文件 通常情况下 多数 syslog 信息被写到 var adm 或 var log 目录下的信息文件中 messages 一个典型的 syslog 记录包括生成程序的名字和一个文本信息 它还包括一个设备和一个优 先级范围 系统管理员通过使用 syslog conf 文件 可以对生成的日志的位置及其相关信 息进行灵活配置 满足应用的需要 例如 如果想把所有邮件消息记录到一个 文件中 则做如下操作 Log all the mail messages in one place mail var log maillog 其他设备也有自己的日志 UUCP 和 news 设备能产生许多外部消息 它把这些 消息存到自己的日志 var log spooler 中并把级别限为 err 或更高 例如 Save news errors of level crit and higher in a special file uucp news crit var log spooler 当一个紧急消息到来时 可能想让所有的用户都得到 也可能想让自己的日志 接收并保存 Everybody gets emergency messages plus log them on anther machine emerg emerg 用户可以在一行中指明所有的设备 下面的例子把 info 或更高级别的消息送到 var log messages 除了 mail 以外 级别 none 禁止一个设备 Log anything except mail of level info or higher Don t log private authentication messages info mail none autHPriv none var log messages 在有些情况下 可以把日志送到打印机 这样网络入侵者怎么修改日志都不能 清除入侵的痕迹 因此 syslog 设备是一个攻击者的显著目标 破坏了它将会 使用户很难发现入侵以及入侵的痕迹 因此要特别注意保护其守护进程以及配 置文件 3 程序日志的使用 许多程序通