文档介绍:时间:2022年3月8日
学海无涯
页脚:第-2-页共12页
Linux常见日志和常用命令
Linux日志都以明文方式储存,所以用户状态的程序,如who、w、users、finger等就须要访问这个文件。该日志文件并不能包括所有精确的信息,由于个别突发错误会中止用户登入会话,而系统没有及时更新utmp记录,因而该日志文件的记录不是百分之百值得信赖的。
以上提到的3个文件(/var/log/wtmp、/var/run/utmp、/var/log/lastlog)是日志子系统的关键文件,都记录了用户登陆的情况。那些文件的所有记录都包含了时间戳。那些文件是按二补码保存的,故不能用less、cat之类的命令直接查看那些文件,而是须要使用相关命令通过这种文件而查看。其中,utmp和wtmp文件的数据结构是一样的,而lastlog文件则使用另外的数据结构,关于它们的具体的数据结构可以使用man命令查询。
每次有一个用户登入时,login程序在文件lastlog中查看用户的UID。假如存在,则把用户下次登陆、注销时间和主机名讲到标准输出中,之后login程序在lastlog中记录新的登陆时间,打开utmp文件并插入用户的utmp记录。该记录仍然用到用户登入退出时删掉。utmp文件被各类命令使用,包括who、w、users和finger。
下一步,login程序打开文件wtmp附加用户的utmp记录。当用户登入退出时,具有更新时间戳的同一utmp记录附加到文件中。wtmp文件被程序last使用。
时间:2022年3月8日
学海无涯
页脚:第-6-页共12页
#/var/log/xferlog
该日志文件记录FTP会话linux 日志文件系统,可以显示出用户向FTP服务器或从服务器拷贝了哪些文件。该文件会显示用户拷贝到服务器上的拿来入侵服务器的恶意程序,以及该用户拷贝了什么文件供他使用。
该文件的格式为:第一个域是日期和时间,第二个域是下载文件所耗费的秒数、远程系统名称、文件大小、本地路径名、传输类型(a:ASCII,b:二补码)、与压缩相关的标志或tar,或_(假如没有压缩的话)、传输方向(相对于服务器而言:i代表进,o代表出)、访问模式(a:匿名,g:输入口令,r:真实用户)、用户名、服务名(一般是ftp)、认证方式(l:RFC931,或0),认证用户的ID或*。
#/var/log/kernlog
Linux默认没有记录该日志文件。要启用该日志文件,必须在/etc/文件中添加一行:“kern.*/var/log/kernlog”。这样就启用了向/var/log/kernlog文件中记录所有内核消息的功能。该文件记录了系统启动时加载设备或使用设备的情况。通常是正常的操作,但若果记录了没有授权的用户进行的那些操作,就要注意RAR FOR LINUX,由于有可能这就是恶意用户的行为。
#/var/log/
该日志文件记录了X-Window启动的情况。另外,不仅/var/log/外,恶意用户也可能在别的地方留下痕迹,应当注意以下几个地方:root和其他帐户的shell历史文件;用户的各类邮箱,、mbox,以及储存在/var/spool/mail/和/var/spool/mqueue中的邮箱;临时文件/tmp、/usr/tmp、/var/tmp;隐藏的目录;其他恶意用户创建的文件,。
时间:2022年3月8日
学海无涯
页脚:第-6-页共12页
二、Linux常用的命令
wtmp和utmp文件都是二补码文件,它们不能被例如tail之类的命令剪贴或合并(使用cat命令)。用户须要使用who、w、users、last和ac等命令来使用这两个文件包含的信息。
#who
who命令查询utmp文件并报告当前登入的每位用户,默认输出包括用户名、终端类型、登录日期及远程主机。诸如,键入who命令,之后按回车键,将显示如下内容:#who
root:0May2010:45
rootpts/1May2010:45(:)
rootpts/2May2010:55(:)
假如指明了wtmp文件名linux 日志文件系统LINUX社区,则who命令查询所有曾经的记录。命令who/var/log/wtmp将报告自从wtmp文件创建或删改以来的每一
本文原创地址:https://www.linuxprobe.com/lcjdrzwjjzkm.html编辑:刘遄,审核员:暂无
