linux 日志簡介

1. 日志簡介

    日志對于

安全

來說，非常重要，他記錄了系統每天發生的各種各樣的事情，你可以通過他來檢查錯誤發生的原因，或者受到攻擊時攻擊者留下的痕迹。日志主要的功能有：審計和監測。他還可以實時的監測系統狀态，監測和追蹤侵入者等等。

在linux系統中，有三個主要的日志子系統：

連接配接時間日志--由多個程式執行，把紀錄寫入到/var/log/wtmp和/var/run/utmp，login等程式更新wtmp和utmp檔案，使系統管理者能夠跟蹤誰在何時登入到系統。

程序統計--由系統核心執行。當一個程序終止時，為每個程序往程序統計檔案（pacct或acct）中寫一個紀錄。程序統計的目的是為系統中的基本服務提供指令使用統計。

錯誤日志--由syslogd（8）執行。各種系統守護程序、使用者程式和核心通過syslog（3）向檔案/var/log/messages報告值得注意的事件。另外有許多unix程式建立日志。像http和ftp這樣提供網絡服務的

伺服器

也保持詳細的日志。

常用的日志檔案如下：

access-log 紀錄http/web的傳輸

acct/pacct 紀錄使用者指令

aculog 紀錄modem的活動

btmp 紀錄失敗的紀錄

lastlog 紀錄最近幾次成功登入的事件和最後一次不成功的登入

messages 從syslog中記錄資訊（有的連結到syslog檔案）

sudolog 紀錄使用sudo發出的指令

sulog 紀錄使用su指令的使用

syslog 從syslog中記錄資訊（通常連結到messages檔案）

utmp 紀錄目前登入的每個使用者

wtmp 一個使用者每次登入進入和退出時間的永久紀錄

xferlog 紀錄ftp會話

utmp、wtmp和lastlog日志檔案是多數重用unix日志子系統的關鍵--保持使用者登入進入和 退出的紀錄。有關目前登入使用者的資訊記錄在檔案utmp中；登入進入和退出紀錄在檔案 wtmp中；最後一次登入檔案可以用lastlog指令察看。資料

交換

、關機和重起也記錄在w

tmp檔案中。所有的紀錄都包含時間戳。這些檔案（lastlog通常不大）在具有大量使用者 的系統中增長十分迅速。例如wtmp檔案可以無限增長，除非定期截取。許多系統以一天 或者一周為機關把wtmp配置成循環使用。它通常由cron運作的腳本來修改。這些腳本重

新命名并循環使用wtmp檔案。通常，wtmp在第一天結束後命名為wtmp.1；第二天後wtmp .1變為wtmp.2等等，直到wtmp.7。

每次有一個使用者登入時，login程式在檔案lastlog中察看使用者的uid。如果找到了，則把

使用者上次登入、退出時間和主機名寫到标準輸出中，然後login程式在lastlog中紀錄新

的登入時間。在新的lastlog紀錄寫入後，utmp檔案打開并插入使用者的utmp紀錄。該紀錄

一直用到使用者登入退出時删除。utmp檔案被各種指令檔案使用，包括who、w、users和finger。

下一步，login程式打開檔案wtmp附加使用者的utmp紀錄。當使用者登入退出時，具有更新時 間戳的同一utmp紀錄附加到檔案中。wtmp檔案被程式last和ac使用。

2. 具體指令

wtmp和utmp檔案都是二進制檔案，他們不能被諸如tail指令剪貼或合并（使用cat指令）。使用者需要使用who、w、users、last和ac

來使用這兩個檔案包含的資訊。

who：who指令查詢utmp檔案并報告目前登入的每個使用者。who的預設輸出包括使用者名、終端類型、登入日期及遠端主機。例如：who（回車）顯示

chyang pts/0 aug 18 15:06

ynguo pts/2 aug 18 15:32

ynguo pts/3 aug 18 13:55

lewis pts/4 aug 18 13:35

ynguo pts/7 aug 18 14:12

ylou pts/8 aug 18 14:15

如果指明了wtmp檔案名，則who指令查詢所有以前的紀錄。指令who /var/log/wtmp将報告自從wtmp檔案建立或删改以來的每一次登入。

w：w指令查詢utmp檔案并顯示目前系統中每個使用者和它所運作的程序資訊。

例如：w（回車）顯示：3:36pm up 1 day, 22:34, 6 users, load average: 0.23, 0.29, 0.27

user tty from login@ idle jcpu pcpu what

chyang pts/0 202.38.68.242 3:06pm 2:04 0.08s 0.04s -bash

ynguo pts/2 202.38.79.47 3:32pm 0.00s 0.14s 0.05s w

lewis pts/3 202.38.64.233 1:55pm 30:39 0.27s 0.22s -bash

lewis pts/4 202.38.64.233 1:35pm 6.00s 4.03s 0.01s sh /home/users/

ynguo pts/7 simba.nic.ustc.e 2:12pm 0.00s 0.47s 0.24s telnet mail

ylou pts/8 202.38.64.235 2:15pm 1:09m 0.10s 0.04s -bash

users：users用單獨的一行列印出目前登入的使用者，每個顯示的使用者名對應一個登入會話。如果一個使用者有不止一個登入會話，那他的使用者名将顯示相同的次數。

例如：users（回車）顯示：chyang lewis lewis ylou ynguo ynguo

last：last指令往回搜尋wtmp來顯示自從檔案第一次建立以來登入過的使用者。例如：

chyang pts/9 202.38.68.242 tue aug 1 08:34 - 11:23 (02:49)

cfan pts/6 202.38.64.224 tue aug 1 08:33 - 08:48 (00:14)

chyang pts/4 202.38.68.242 tue aug 1 08:32 - 12:13 (03:40)

lewis pts/3 202.38.64.233 tue aug 1 08:06 - 11:09 (03:03)

lewis pts/2 202.38.64.233 tue aug 1 07:56 - 11:09 (03:12)

如果指明了使用者，那麼last隻報告該使用者的近期活動，例如：last ynguo（回車）顯示

：

ynguo pts/4 simba.nic.ustc.e fri aug 4 16:50 - 08:20 (15:30)

ynguo pts/4 simba.nic.ustc.e thu aug 3 23:55 - 04:40 (04:44)

ynguo pts/11 simba.nic.ustc.e thu aug 3 20:45 - 22:02 (01:16)

ynguo pts/0 simba.nic.ustc.e thu aug 3 03:17 - 05:42 (02:25)

ynguo pts/0 simba.nic.ustc.e wed aug 2 01:04 - 03:16 1+02:12)

ynguo pts/0 simba.nic.ustc.e wed aug 2 00:43 - 00:54 (00:11)

ynguo pts/9 simba.nic.ustc.e thu aug 1 20:30 - 21:26 (00:55)

ac：ac指令根據目前的/var/log/wtmp檔案中的登入進入和退出來報告使用者連結的時間（小時），如果不使用标志，則報告總的時間。例如：ac（回車）顯示：total 5177.47

ac -d（回車）顯示每天的總的連結時間

aug 12 total 261.87

aug 13 total 351.39

aug 14 total 396.09

aug 15 total 462.63

aug 16 total 270.45

aug 17 total 104.29

today total 179.02

ac -p （回車）顯示每個使用者的總的連接配接時間

ynguo 193.23

yucao 3.35

rong 133.40

hdai 10.52

zjzhu 52.87

zqzhou 13.14

liangliu 24.34

total 5178.24

lastlog：lastlog檔案在每次有使用者登入時被查詢。可以使用lastlog指令來檢查某特定使用者上次登入的時間，并格式化輸出上次登入日志

/var/log/lastlog的内容。它根據uid排序顯示登入名、端口号（tty）和上次登入時間。如果一個使用者從未登入過，lastlo

g顯示"**never logged**。注意需要以root運作該指令，例如：

rong 5 202.38.64.187 fri aug 18 15:57:01 +0800 2000

dbb **never logged in**

xinchen **never logged in**

pb9511 **never logged in**

xchen 0 202.38.64.190 sun aug 13 10:01:22 +0800 2000

另外，可一加一些參數，例如，last -u 102将報告uid為102的使用者；last -t 7表示限

制上一周的報告。

3. 程序統計

unix可以跟蹤每個使用者運作的每條指令，如果想知道昨晚弄亂了哪些重要的檔案，程序統計子系統可以告訴你。它對還跟蹤一個侵入者有幫助。與連接配接時間日志

不同，程序統計子系統預設不激活，它必須啟動。在linux系統中啟動程序統計使用accton指令，必須用root身份來運作。accton指令的形式

accton file，file必須先存在。先使用touch指令來建立pacct檔案：touch

/var/log/pacct，然後運作accton： accton

/var/log/pacct。一旦accton被激活，就可以使用lastcomm指令監測系統中任何時候執行的指令。若要關閉統計，可以使用不帶任何

參數的accton指令。

lastcomm指令報告以前執行的檔案。不帶參數時，lastcomm指令顯示目前統計檔案生命周期内紀錄的所有指令的有關資訊。包括指令名、使用者、 tty、指令花費的cpu時間和一個時間戳。如果系統有許多使用者，輸入則可能很長。下面的例子：

crond f root ?? 0.00 secs sun aug 20 00:16

promisc_check.s s root ?? 0.04 secs sun aug 20 00:16

promisc_check root ?? 0.01 secs sun aug 20 00:16

grep root ?? 0.02 secs sun aug 20 00:16

tail root ?? 0.01 secs sun aug 20 00:16

sh root ?? 0.01 secs sun aug 20 00:15

ping s root ?? 0.01 secs sun aug 20 00:15

ping6.pl f root ?? 0.01 secs sun aug 20 00:15

ping s root ?? 0.02 secs sun aug 20 00:15

ping6.pl f root ?? 0.02 secs sun aug 20 00:15

sh root ?? 0.02 secs sun aug 20 00:15

ping s root ?? 0.00 secs sun aug 20 00:15

ping s root ?? 1.34 secs sun aug 20 00:15

locate root ttyp0 1.34 secs sun aug 20 00:15

accton s root ttyp0 0.00 secs sun aug 20 00:15

程序統計的一個問題是pacct檔案可能增長的十分迅速。這時需要互動式的或經過cron機制運作sa指令來保持日志資料在系統控制内。sa指令報告、清

理并維護程序統計檔案。它能把/var/log/pacct中的資訊壓縮到摘要檔案/var/log/savacct和

/var/log/usracct

中。這些摘要包含按指令名和使用者名分類的系統統計資料。sa預設情況下先讀它們，然後讀pacct檔案，使報告能包含所有的可用資訊。sa的輸出有下面一些标記項：

avio--每次執行的平均i/o操作次數

cp--使用者和系統時間總和，以分鐘計

cpu--和cp一樣

k--核心使用的平均cpu時間，以1k為機關

k*sec--cpu

存儲

完整性，以1k-core秒

re--實時時間，以分鐘計

s--系統時間，以分鐘計

tio--i/o操作的總數

u--使用者時間，以分鐘計

例如：

842 173.26re 4.30cp 0avio 358k

2 10.98re 4.06cp 0avio 299k find

9 24.80re 0.05cp 0avio 291k ***other

105 30.44re 0.03cp 0avio 302k ping

104 30.55re 0.03cp 0avio 394k sh

162 0.11re 0.03cp 0avio 413k security.sh*

154 0.03re 0.02cp 0avio 273k ls

56 31.61re 0.02cp 0avio 823k ping6.pl*

2 3.23re 0.02cp 0avio 822k ping6.pl

35 0.02re 0.01cp 0avio 257k md5sum

97 0.02re 0.01cp 0avio 263k initlog

12 0.19re 0.01cp 0avio 399k promisc_check.s

15 0.09re 0.00cp 0avio 288k grep

11 0.08re 0.00cp 0avio 332k awk

使用者還可以根據使用者而不是指令來提供一個摘要報告。例如sa -m顯示如下：

885 173.28re 4.31cp 0avk

root 879 173.23re 4.31cp 0avk

alias 3 0.05re 0.00cp 0avk

qmailp 3 0.01re 0.00cp 0avk

4. syslog裝置

    syslog已被許多日志函數采納，它用在許多保護措施中--任何程式都可以通過syslog 紀錄事件。syslog可以紀錄系統事件，可以寫到一個檔案或裝置中，或給使用者發送一個資訊。它能紀錄本地事件或通過網絡紀錄另一個主機上的事件。

syslog裝置依據兩個重要的檔案：/etc/syslogd（守護程序）和/etc/syslog.conf配置檔案，習慣上，多數syslog資訊

被寫到/var/adm或/var/log目錄下的資訊檔案中（messages.*）。一個典型的syslog紀錄包括生成程式的名字和一個文本資訊。

它還包括一個裝置和一個優先級範圍（但不在日之中出現）。

每個syslog消息被賦予下面的主要裝置之一：

log_auth--認證系統：login、su、getty等

log_authpriv--同log_auth，但隻登入到所選擇的單個使用者可讀的檔案中

log_cron--cron守護程序

log_daemon--其他系統守護程序，如routed

log_ftp--檔案傳輸

協定

：ftpd、tftpd

log_kern--核心産生的消息

log_lpr--系統列印機緩沖池：lpr、lpd

log_mail--電子郵件系統

log_news--網絡新聞系統

log_syslog--由syslogd（8）産生的内部消息

log_user--随機使用者程序産生的消息

log_uucp--uucp子系統

log_local0~log_local7--為本地使用保留

syslog為每個事件賦予幾個不同的優先級：

log_emerg--緊急情況

log_alert--應該被立即改正的問題，如系統資料庫破壞

log_crit--重要情況，如硬碟錯誤

log_err--錯誤

log_warning--警告資訊

log_notice--不是錯誤情況，但是可能需要處理

log_info--情報資訊

log_debug--包含情報的資訊，通常旨在調試一個程式時使用

syslog.conf檔案指明syslogd程式紀錄日志的行為，該程式在啟動時查詢配置檔案。該檔案由不同程式或消息分類的單個條目組成，每個占一

行。對每類消息提供一個選擇域和一個動作域。這些域由tab隔開：選擇域指明消息的類型和優先級；動作域指明syslogd接收到一個與選擇标準相比對的

消息時所執行的動作。每個選項是由裝置和優先級組成。當指明一個優先級時，syslogd将紀錄一個擁有相同或更高優先級的消息。是以如果指明

"crit"，那所有标為crit、alert和emerg的消息将被紀錄。每行的行動域指明當選擇域選擇了一個給定消息後應該把他發送到哪兒。例如，如

果想把所有郵件消息紀錄到一個檔案中，如下：

#log all the mail messages in one place

mail.* /var/log/maillog

其他裝置也有自己的日志。uucp和news裝置能産生許多外部消息。它把這些消息存到自己的日志（/var/log/spooler）中并把級别限為"err"或更高。例如：

# save mail and news errors of level err and higher in aspecial file.

uucp,news.crit /var/log/spooler

當一個緊急消息到來時，可能想讓所有的使用者都得到。也可能想讓自己的日志接收并儲存。

#everybody gets emergency messages， plus log them on anther machine

*.emerg *

*.emerg @

linux

aid.com.cn

alert消息應該寫到root和tiger的個人賬号中：

#root and tiger get alert and higher messages

*.alert root,tiger

有時syslogd将産生大量的消息。例如核心（"kern"裝置）可能很冗長。使用者可能想把核心消息紀錄到/dev/console中。下面的例子表明核心日志紀錄被注釋掉了：

#log all kernel messages to the console

#logging much else clutters up the screen

#kern.* /dev/console

使用者可以在一行中指明所有的裝置。下面的例子把info或更進階别的消息送到/var/log

/messages，除了mail以外。級别"none"禁止一個裝置：

#log anything（except mail）of level info or higher

#don log private authentication messages!

*.info:mail.none;authpriv.none /var/log/messages

在有些情況下，可以把日志送到列印機，這樣網絡入侵者怎麼修改日志都沒有用了。通常要廣泛紀錄日志。syslog裝置是一個攻擊者的顯著目标。一個為其他主機維護日志的系統對于防範

 伺服器

攻擊特别脆弱，是以要特别注意。

有個小指令logger為syslog（3）系統日志檔案提供一個shell指令接口，使使用者能建立日志檔案中的條目。

用法：logger

例如：logger this is a test！

它将産生一個如下的syslog紀錄：aug 19 22:22:34 tiger: this is a test!

注意不要完全相信日志，因為攻擊者很容易修改它的。

5. 程式日志

    許多程式通過維護日志來反映系統的

狀态。su指令允許使用者獲得另一個使用者的權限，是以它的安全很重要，它的檔案為sulog。同樣的還有 sudolog。另外，想apache有兩個日志：access_log和error_log