centos7 日志檔案

Linux常見的日志檔案詳述如下

1、/var/log/boot.log（自檢過程）

2、/var/log/cron （crontab守護程序crond所派生的子程序的動作）

3、/var/log/maillog （發送到系統或從系統發出的電子郵件的活動）

4、/var/log/syslog （它隻記錄警告資訊，常常是系統出問題的資訊，是以更應該關注該檔案）

5、/usr/local/apache/logs/error_log（它是記錄apache的日志目錄)

6、/var/log/httpd/error_log （它是記錄http的日志目錄)

要讓系統生成syslog日志檔案，

在/etc/rsyslog.conf檔案中加上：*.warning /var/log/syslog 　　

該日志檔案能記錄當使用者登入時login記錄下的錯誤密碼、Sendmail的問題、su指令執行失敗等資訊

5、/var/run/utmp

該日志檔案需要使用lastlog指令檢視

6、/var/log/wtmp

（該日志檔案永久記錄每個使用者登入、登出及系統的啟動、停機的事件）

last指令就通過通路這個檔案獲得這些資訊

7、/var/run/utmp

（該日志檔案記錄有關目前登入的每個使用者的資訊）

8、/var/log/xferlog

（該日志檔案記錄FTP會話，可以顯示出使用者向FTP伺服器或從伺服器拷貝了什麼檔案）

Linux日志分析詳細部分

日志也是使用者應該注意的地方之一。不要低估日志檔案對網絡安全的重要作用，因為日志檔案能夠詳細記錄系統每天發生的各種各樣的事件。使用者可以通過日志檔案檢查錯誤産生的原因，或者在受到攻擊和黑客入侵時追蹤攻擊者的蹤迹。日志的兩個比較重要的作用是：稽核和監測。配置好的Linux的日志非常強大。對于Linux系統而言，所有的日志檔案都在/var/log下。預設情況下，Linux的日志檔案已經足夠強大，但沒有記錄FTP的活動。使用者可以通過修改/etc/ftpacess讓系統記錄FTP的一切活動。

Linux日志系統簡介

Linux日志系統

日志對于系統的安全來說非常重要，它記錄了系統每天發生的各種各樣的事情，使用者可以通過它來檢查錯誤發生的原因，或者尋找受到攻擊時攻擊者留下的痕迹。日志主要的功能是審計和監測。它還可以實時地監測系統狀态，監測和追蹤侵入者。

Linux系統一般有3個主要的日志子系統：連接配接時間日志、程序統計日志和錯誤日志。

連接配接時間日志

連接配接時間日志由多個程式執行，把記錄寫入到/var/og/wtmp和/var/run/utmp。ogin等程式更新wtmp和utmp檔案，使系統管理者能夠跟蹤誰在何時登入到系統。

程序統計日志

程序統計日志由系統核心執行。當一個程序終止時，為每個程序往程序統計檔案（pacct或acct）中寫一個記錄。程序統計的目的是為系統中的基本服務提供指令使用統計。

錯誤日志

錯誤日志由sysogd(8)執行。各種系統守護程序、使用者程式和核心通過sysog(3)向檔案/var/og/messages報告值得注意的事件。另外還有許多UNIX類程式建立日志，像HTTP和FTP這樣提供網絡服務的伺服器也有詳細的日志。

RedHat Linux常見的日志檔案和常用指令

成功地管理任何系統的關鍵之一，是要知道系統中正在發生什麼事。Linux 中提供了異常日志，并且日志的細節是可配置的。Linux 日志都以明文形式存儲，是以使用者不需要特殊的工具就可以搜尋和閱讀它們。還可以編寫腳本，來掃描這些日志，并基于它們的内容去自動執行某些功能。Linux 日志存儲在 /var/log 目錄中。這裡有幾個由系統維護的日志檔案，但其他服務和程式也可能會把它們的日志放在這裡。大多數日志隻有root賬戶才可以讀，不過修改檔案的通路權限就可以讓其他人可讀。

RedHat Linux常用的日志檔案

RedHat Linux常見的日志檔案詳述如下

/var/log/boot.log

該檔案記錄了系統在引導過程中發生的事件，就是Linux系統開機自檢過程顯示的資訊。

/var/log/cron

該日志檔案記錄crontab守護程序crond所派生的子程序的動作，前面加上使用者、登入時間和PID，以及派生出的程序的動作。CMD的一個動作是cron派生出一個排程程序的常見情況。REPLACE（替換）動作記錄使用者對它的cron檔案的更新，該檔案列出了要周期性執行的任務排程。RELOAD動作在REPLACE動作後不久發生，這意味着cron注意到一個使用者的cron檔案被更新而cron需要把它重新裝入記憶體。該檔案可能會查到一些反常的情況。

/var/log/maillog

該日志檔案記錄了每一個發送到系統或從系統發出的電子郵件的活動。它可以用來檢視使用者使用哪個系統發送工具或把資料發送到哪個系統。下面是該日志檔案的片段：

Sep 4 17:23:52 UNIX sendmail[1950]: g849Npp01950: from=root, size=25,, nrcpts=1, msgid=<[email protected]>,relay=root@localhostSep　　該日志檔案是許多程序日志檔案的彙總，從該檔案可以看出任何入侵企圖或成功的入侵。如以下幾行：

Sep 3 08:30:17 UNIX login[1275]: FAILED LOGIN 2 FROM (null) FOR suying, Authentication failureSep 4 17:40:28 UNIX — suying[2017]: LOGIN ON pts/1 BY suying FROMfcceec.www.ec8.pfcc.com.cnSep 4 17:40:39 UNIX su(pam_unix)[2048]: session opened for user root by suying(uid=999)

該檔案的格式是每一行包含日期、主機名、程式名，後面是包含PID或核心辨別的方括号、一個冒号和一個空格，最後是消息。該檔案有一個不足，就是被記錄的入侵企圖和成功的入侵事件，被淹沒在大量的正常程序的記錄中。但該檔案可以由/etc/syslog檔案進行定制。由/etc/syslog.conf配置檔案決定系統如何寫入/var/messages。有關如何配置/etc/syslog.conf檔案決定系統日志記錄的行為，将在後面詳細叙述。

/var/log/syslog

預設RedHat Linux不生成該日志檔案，但可以配置/etc/syslog.conf讓系統生成該日志檔案。它和/etc/log/messages日志檔案不同，它隻記錄警告資訊，常常是系統出問題的資訊，是以更應該關注該檔案。要讓系統生成該日志檔案，在/etc/syslog.conf檔案中加上：*.warning /var/log/syslog 　　該日志檔案能記錄當使用者登入時login記錄下的錯誤密碼、Sendmail的問題、su指令執行失敗等資訊。下面是一條記錄：

Sep 6 16:47:52 UNIX login(pam_unix)[2384]: check pass; user unknown/var/log/secure該日志檔案記錄與安全相關的資訊。該日志檔案的部分内容如下：Sep 4 16:05:09 UNIX xinetd[711]: START: ftp pid=1815 from=127.0.0.1Sep 4 16:05:09 UNIX xinetd[1815]: USERID: ftp OTHER :rootSep 4 16:07:24 UNIX xinetd[711]: EXIT: ftp pid=1815 duration=135(sec)Sep 4 16:10:05 UNIX xinetd[711]: START: ftp pid=1846 from=127.0.0.1Sep 4 16:10:05 UNIX xinetd[1846]: USERID: ftp OTHER :rootSep 4 16:16:26 UNIX xinetd[711]: EXIT: ftp pid=1846 duration=381(sec)Sep 4 17:40:20 UNIX xinetd[711]: START: telnet pid=2016 from=10.152.8.2/var/log/lastlog

該日志檔案記錄最近成功登入的事件和最後一次不成功的登入事件，由login生成。在每次使用者登入時被查詢，該檔案是二進制檔案，需要使用lastlog指令檢視，根據UID排序顯示登入名、端口号和上次登入時間。如果某使用者從來沒有登入過，就顯示為”**Never logged in**”。該指令隻能以root權限執行。簡單地輸入lastlog指令後就會看到類似如下的資訊：

Username Port From Latestroot tty2 Tue Sep 3 08:32:27 +0800 2002bin **Never logged in**daemon **Never logged in**adm **Never logged in**lp **Never logged in**sync **Never logged in**shutdown **Never logged in**halt **Never logged in**mail **Never logged in**news **Never logged in**uucp **Never logged in**operator **Never logged in**games **Never logged in**gopher **Never logged in**ftp ftp UNIX Tue Sep 3 14:49:04 +0800 2002nobody **Never logged in**nscd **Never logged in**mailnull **Never logged in**ident **Never logged in**rpc **Never logged in**rpcuser **Never logged in**xfs **Never logged in**gdm **Never logged in**postgres **Never logged in**apache **Never logged in**lzy tty2 Mon Jul 15 08:50:37 +0800 2002suying tty2 Tue Sep 3 08:31:17 +0800 2002

系統賬戶諸如bin、daemon、adm、uucp、mail等決不應該登入，如果發現這些賬戶已經登入，就說明系統可能已經被入侵了。若發現記錄的時間不是使用者上次登入的時間，則說明該使用者的賬戶已經洩密了。

/var/log/wtmp

該日志檔案永久記錄每個使用者登入、登出及系統的啟動、停機的事件。是以随着系統正常運作時間的增加，該檔案的大小也會越來越大，增加的速度取決于系統使用者登入的次數。該日志檔案可以用來檢視使用者的登入記錄，last指令就通過通路這個檔案獲得這些資訊，并以反序從後向前顯示使用者的登入記錄，last也能根據使用者、終端 tty或時間顯示相應的記錄。

指令last有兩個可選參數：

last -u 使用者名 顯示使用者上次登入的情況。

last -t 天數 顯示指定天數之前的使用者登入情況。

/var/run/utmp

該日志檔案記錄有關目前登入的每個使用者的資訊。是以這個檔案會随着使用者登入和登出系統而不斷變化，它隻保留當時聯機的使用者記錄，不會為使用者保留永久的記錄。系統中需要查詢目前使用者狀态的程式，如 who、w、users、finger等就需要通路這個檔案。該日志檔案并不能包括所有精确的資訊，因為某些突發錯誤會終止使用者登入會話，而系統沒有及時更新 utmp記錄，是以該日志檔案的記錄不是百分之百值得信賴的。

以上提及的3個檔案（/var/log/wtmp、/var/run/utmp、/var/log/lastlog）是日志子系統的關鍵檔案，都記錄了使用者登入的情況。這些檔案的所有記錄都包含了時間戳。這些檔案是按二進制儲存的，故不能用less、cat之類的指令直接檢視這些檔案，而是需要使用相關指令通過這些檔案而檢視。其中，utmp和wtmp檔案的資料結構是一樣的，而lastlog檔案則使用另外的資料結構，關于它們的具體的資料結構可以使用man指令查詢。

每次有一個使用者登入時，login程式在檔案lastlog中檢視使用者的UID。如果存在，則把使用者上次登入、登出時間和主機名寫到标準輸出中，然後login程式在lastlog中記錄新的登入時間，打開utmp檔案并插入使用者的utmp記錄。該記錄一直用到使用者登入退出時删除。utmp檔案被各種指令使用，包括who、w、users和finger。

下一步，login程式打開檔案wtmp附加使用者的utmp記錄。當使用者登入退出時，具有更新時間戳的同一utmp記錄附加到檔案中。wtmp檔案被程式last使用。

/var/log/xferlog

該日志檔案記錄FTP會話，可以顯示出使用者向FTP伺服器或從伺服器拷貝了什麼檔案。該檔案會顯示使用者拷貝到伺服器上的用來入侵伺服器的惡意程式，以及該使用者拷貝了哪些檔案供他使用。

該檔案的格式為：第一個域是日期和時間，第二個域是下載下傳檔案所花費的秒數、遠端系統名稱、檔案大小、本地路徑名、傳輸類型（a：ASCII，b：二進制）、與壓縮相關的标志或tar，或”_”（如果沒有壓縮的話）、傳輸方向（相對于伺服器而言：i代表進，o代表出）、通路模式（a：匿名，g：輸入密碼，r：真實使用者）、使用者名、服務名（通常是ftp）、認證方法（l：RFC931，或0），認證使用者的ID或”*”。下面是該檔案的一條記錄：

Wed Sep 4 08:14:03 2002 1 UNIX 275531 /var/ftp/lib/libnss_files-2.2.2.so b _ o a -root@UNIX ftp 0 * c/var/log/kernlog 4 17:23:55 UNIX sendmail[1950]: g849Npp01950: [email protected], ctladdr=root (0/0), delay=00:00:04, xdelay=00:00:03, mailer=esmtp, pri=30025, relay=fcceec.net. [10.152.8.2], dsn=2.0.0, stat=Sent (Message queued)/var/log/messages

本文轉自 老鷹a  51CTO部落格，原文連結:http://blog.51cto.com/laoyinga/1890705