RedHat系统常见的日志文件详解一
2010-05-05 16:44
447 查看
RedHat系统常见的日志文件详解一
/var/log/boot.log
该文件记录了系统在引导过程中发生的事件,就是Linux系统开机自检过程显示的信息。 % @7 h7 s, Y5 z! V' h- C$ \4 K; K
/var/log/cron 4 X b P. S7 _+ {/ s8 B! E( M
' {3 i4 V- r! i3 W! Y% K, h
该日志文件记录crontab守护进程crond所派生的子进程的动作,前面加上用户、登录时间和PID,以及派生出的进程的动作。CMD的一个动作是cron派生出一个调度进程的常见情况。REPLACE(替换)动作记录用户对它的cron文件的更新,该文件列出了要周期性执行的任务调度。 RELOAD动作在REPLACE动作后不久发生,这意味着cron注意到一个用户的cron文件被更新而cron需要把它重新装入内存。该文件可能会查到一些反常的情况。 4 i3 o; }2 B( T; T3 m
" }. r: V, C6 [; G* u
/var/log/maillog
该日志文件记录了每一个发送到系统或从系统发出的电子邮件的活动。它可以用来查看用户使用哪个系统发送工具或把数据发送到哪个系统。下面是该日志文件的片段: ; H& ?( t, Q- A
; d1 t9 X; a! N/ Q- C" c0 J
: K1 Z3 V% }, K
Sep 4 17:23:52 UNIX sendmail[1950]: g849Npp01950: from=root, size=25,
class=0, nrcpts=1,
msgid=<200209040923.g849Npp01950@redhat.pfcc.com.cn>,
# V; F. I5 ~( ?, s0 s
relay=root@localhost
' @! u. @+ I4 F& c
Sep 4 17:23:55 UNIX sendmail[1950]: g849Npp01950: to=lzy@fcceec.net, # T# r* A9 D& A
ctladdr=root (0/0), delay=00:00:04, xdelay=00:00:03, mailer=esmtp, pri=30025,
relay=fcceec.net. [10.152.8.2], dsn=2.0.0, stat=Sent (Message queued) 4 ^+ O- ]. w; f
/var/log/messages - |( }" @& S. Q7 Y
Y7 q7 B
该日志文件是许多进程日志文件的汇总,从该文件可以看出任何入侵企图或成功的入侵。如以下几行: * b- `3 n0 t9 @' R/ l7 N, l, w
9 L& D5 [( i) H0 q
QUOTE:
. J/ O( k+ B1 O' B. m1 e
Sep 3 08:30:17 UNIX login[1275]: FAILED LOGIN 2 FROM (null) FOR suying,
Authentication failure
Sep 4 17:40:28 UNIX -- suying[2017]: LOGIN ON pts/1 BY suying FROM
6 Q* @& l/ m8 [
fcceec.www.ec8.pfcc.com.cn
Sep 4 17:40:39 UNIX su(pam_unix)[2048]: session opened for user root by suying(uid=999)
该文件的格式是每一行包含日期、主机名、程序名,后面是包含PID或内核标识的方括号、一个冒号和一个空格,最后是消息。该文件有一个不足,就是被记录的入侵企图和成功的入侵事件,被淹没在大量的正常进程的记录中。但该文件可以由/etc/syslog文件进行定制。由 /etc/syslog.conf配置文件决定系统如何写入/var/messages。有关如何配置/etc/syslog.conf文件决定系统日志记录的行为,将在后面详细叙述。
R: n2 z3 u3 Y" ^# T
$ X' [8 x% ~) D
/var/log/syslog
: E7 V1 j7 j6 `, F( ?* z7 X& i
默认RedHat Linux不生成该日志文件,但可以配置/etc/syslog.conf让系统生成该日志文件。它和/etc/log/messages日志文件不同,它只记录警告信息,常常是系统出问题的信息,所以更应该关注该文件。要让系统生成该日志文件,在/etc/syslog.conf文件中加上: *.warning /var/log/syslog 该日志文件能记录当用户登录时login记录下的错误口令、Sendmail的问题、su命令执行失败等信息。下面是一条记录:
( D, O4 J+ z- \8 f6 G9 J5 F
QUOTE:
& W5 @1 ]( u% K7 k0 e. g( s7 R
Sep 6 16:47:52 UNIX login(pam_unix)[2384]: check pass; user unknown
/var/log/secure 6 m0 ]* J6 |9 j( k8 h: C
该日志文件记录与安全相关的信息。该日志文件的部分内容如下: / w/ c% y( L0 Q9 [/ Y
QUOTE:
Sep 4 16:05:09 UNIX xinetd[711]: START: ftp pid=1815 from=127.0.0.1 3 Z! q" M8 {4 r2 R2 M1 }
Sep 4 16:05:09 UNIX xinetd[1815]: USERID: ftp OTHER :root & y* }" s: R& P. ]
& Z4 ^3 u7 u# C8 g9 |
Sep 4 16:07:24 UNIX xinetd[711]: EXIT: ftp pid=1815 duration=135(sec)
Sep 4 16:10:05 UNIX xinetd[711]: START: ftp pid=1846 from=127.0.0.1
Sep 4 16:10:05 UNIX xinetd[1846]: USERID: ftp OTHER :root
Sep 4 16:16:26 UNIX xinetd[711]: EXIT: ftp pid=1846 duration=381(sec)
+ r, L" _+ |- x6 J6 U
Sep 4 17:40:20 UNIX xinetd[711]: START: telnet pid=2016 from=10.152.8.2
! n1 w) p* S, O5 O& B6 e8 o8 c# T
/var/log/lastlog " D& x" U% v. J( |; S5 y
, D: ~5 }( A" s: w; _+ Z3 o' W
# @! ?4 d5 k" U1 |3 ?7 ~% Z9 l
4 @3 V: d! Y. c* `6 s
该日志文件记录最近成功登录的事件和最后一次不成功的登录事件,由login生成。在每次用户登录时被查询,该文件是二进制文件,需要使用 lastlog命令查看,根据UID排序显示登录名、端口号和上次登录时间。如果某用户从来没有登录过,就显示为"**Never logged in**"。该命令只能以root权限执行。简单地输入lastlog命令后就会看到类似如下的信息: ' `0 r- x) ]9 ]- e3 E( a0 U! r. V
* a3 p. ^+ t% ?& I2 }# D# }
QUOTE: ' D- N( s% h6 B* q. q+ `" {8 c
- @; V$ _- a1 q3 G& E) u
Username Port From Latest 4 V) x2 N' T/ i) \& z4 ?+ D, B3 U
root tty2 Tue Sep 3 08:32:27 +0800 2002 ; y1 m$ O2 U* l" H
bin **Never logged in**
daemon **Never logged in**
# R" H0 z: t% Y9 z$ e$ M) Z
adm **Never logged in**
lp **Never logged in** 7 N% A9 H" O5 g" i9 q7 I- O
W9 }' f1 s! t& k( d
sync **Never logged in** 7 o5 `4 J7 r2 D# L* F
" X$ F& A) L% h) q) @6 K
shutdown **Never logged in**
halt **Never logged in**
mail **Never logged in**
% H: @$ Y& X, I+ d& o- l/ [
news **Never logged in** * m& p6 d5 G% \+ l; _; ]
uucp **Never logged in** 1 _9 X6 V" F* D4 w+ A4 {% t
6 M6 r# X. A( h2 q8 @1 Z1 @2 ]: \
operator **Never logged in**
games **Never logged in** 5 W- I3 I; {) t r
gopher **Never logged in** * _/ L9 h1 [! T; U: W8 x' p/ ~1 Z
ftp ftp UNIX Tue Sep 3 14:49:04 +0800 2002
nobody **Never logged in** ) q# t& t' G; c) H7 }2 m
nscd **Never logged in**
- {" b. L! a: a7 }
mailnull **Never logged in**
ident **Never logged in**
d8 ?/ T6 x6 M; {6 [
rpc **Never logged in**
rpcuser **Never logged in** ! s# r# H& V1 `/ v" B9 B
xfs **Never logged in** ' Z& C) N( k) P* G& z
gdm **Never logged in**
postgres **Never logged in**
/ O! L: }7 O" ~8 }. j
apache **Never logged in**
4 w+ l& {4 b% l% p( t" Z; U0 ~6 h# m: ~
lzy tty2 Mon Jul 15 08:50:37 +0800 2002
suying tty2 Tue Sep 3 08:31:17 +0800 2002 ! J8 i8 p$ S5 o
2 w) B P; m- L8 j8 Z" o( T% u
系统账户诸如bin、daemon、adm、uucp、mail等决不应该登录,如果发现这些账户已经登录,就说明系统可能已经被入侵了。若发现记录的时间不是用户上次登录的时间,则说明该用户的账户已经泄密了。 4 Z4 c }/ z& B; A r/ I/ A
- b* S$ H2 i ~7 X! P9 W- k
/var/log/wtmp
. p+ \' F% O3 \/ h# J0 |
9 M" {7 \8 Q: n' w
该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件。因此随着系统正常运行时间的增加,该文件的大小也会越来越大,增加的速度取决于系统用户登录的次数。该日志文件可以用来查看用户的登录记录,last命令就通过访问这个文件获得这些信息,并以反序从后向前显示用户的登录记录,last也能根据用户、终端 tty或时间显示相应的记录。
/var/log/boot.log
该文件记录了系统在引导过程中发生的事件,就是Linux系统开机自检过程显示的信息。 % @7 h7 s, Y5 z! V' h- C$ \4 K; K
/var/log/cron 4 X b P. S7 _+ {/ s8 B! E( M
' {3 i4 V- r! i3 W! Y% K, h
该日志文件记录crontab守护进程crond所派生的子进程的动作,前面加上用户、登录时间和PID,以及派生出的进程的动作。CMD的一个动作是cron派生出一个调度进程的常见情况。REPLACE(替换)动作记录用户对它的cron文件的更新,该文件列出了要周期性执行的任务调度。 RELOAD动作在REPLACE动作后不久发生,这意味着cron注意到一个用户的cron文件被更新而cron需要把它重新装入内存。该文件可能会查到一些反常的情况。 4 i3 o; }2 B( T; T3 m
" }. r: V, C6 [; G* u
/var/log/maillog
该日志文件记录了每一个发送到系统或从系统发出的电子邮件的活动。它可以用来查看用户使用哪个系统发送工具或把数据发送到哪个系统。下面是该日志文件的片段: ; H& ?( t, Q- A
; d1 t9 X; a! N/ Q- C" c0 J
: K1 Z3 V% }, K
Sep 4 17:23:52 UNIX sendmail[1950]: g849Npp01950: from=root, size=25,
class=0, nrcpts=1,
msgid=<200209040923.g849Npp01950@redhat.pfcc.com.cn>,
# V; F. I5 ~( ?, s0 s
relay=root@localhost
' @! u. @+ I4 F& c
Sep 4 17:23:55 UNIX sendmail[1950]: g849Npp01950: to=lzy@fcceec.net, # T# r* A9 D& A
ctladdr=root (0/0), delay=00:00:04, xdelay=00:00:03, mailer=esmtp, pri=30025,
relay=fcceec.net. [10.152.8.2], dsn=2.0.0, stat=Sent (Message queued) 4 ^+ O- ]. w; f
/var/log/messages - |( }" @& S. Q7 Y
Y7 q7 B
该日志文件是许多进程日志文件的汇总,从该文件可以看出任何入侵企图或成功的入侵。如以下几行: * b- `3 n0 t9 @' R/ l7 N, l, w
9 L& D5 [( i) H0 q
QUOTE:
. J/ O( k+ B1 O' B. m1 e
Sep 3 08:30:17 UNIX login[1275]: FAILED LOGIN 2 FROM (null) FOR suying,
Authentication failure
Sep 4 17:40:28 UNIX -- suying[2017]: LOGIN ON pts/1 BY suying FROM
6 Q* @& l/ m8 [
fcceec.www.ec8.pfcc.com.cn
Sep 4 17:40:39 UNIX su(pam_unix)[2048]: session opened for user root by suying(uid=999)
该文件的格式是每一行包含日期、主机名、程序名,后面是包含PID或内核标识的方括号、一个冒号和一个空格,最后是消息。该文件有一个不足,就是被记录的入侵企图和成功的入侵事件,被淹没在大量的正常进程的记录中。但该文件可以由/etc/syslog文件进行定制。由 /etc/syslog.conf配置文件决定系统如何写入/var/messages。有关如何配置/etc/syslog.conf文件决定系统日志记录的行为,将在后面详细叙述。
R: n2 z3 u3 Y" ^# T
$ X' [8 x% ~) D
/var/log/syslog
: E7 V1 j7 j6 `, F( ?* z7 X& i
默认RedHat Linux不生成该日志文件,但可以配置/etc/syslog.conf让系统生成该日志文件。它和/etc/log/messages日志文件不同,它只记录警告信息,常常是系统出问题的信息,所以更应该关注该文件。要让系统生成该日志文件,在/etc/syslog.conf文件中加上: *.warning /var/log/syslog 该日志文件能记录当用户登录时login记录下的错误口令、Sendmail的问题、su命令执行失败等信息。下面是一条记录:
( D, O4 J+ z- \8 f6 G9 J5 F
QUOTE:
& W5 @1 ]( u% K7 k0 e. g( s7 R
Sep 6 16:47:52 UNIX login(pam_unix)[2384]: check pass; user unknown
/var/log/secure 6 m0 ]* J6 |9 j( k8 h: C
该日志文件记录与安全相关的信息。该日志文件的部分内容如下: / w/ c% y( L0 Q9 [/ Y
QUOTE:
Sep 4 16:05:09 UNIX xinetd[711]: START: ftp pid=1815 from=127.0.0.1 3 Z! q" M8 {4 r2 R2 M1 }
Sep 4 16:05:09 UNIX xinetd[1815]: USERID: ftp OTHER :root & y* }" s: R& P. ]
& Z4 ^3 u7 u# C8 g9 |
Sep 4 16:07:24 UNIX xinetd[711]: EXIT: ftp pid=1815 duration=135(sec)
Sep 4 16:10:05 UNIX xinetd[711]: START: ftp pid=1846 from=127.0.0.1
Sep 4 16:10:05 UNIX xinetd[1846]: USERID: ftp OTHER :root
Sep 4 16:16:26 UNIX xinetd[711]: EXIT: ftp pid=1846 duration=381(sec)
+ r, L" _+ |- x6 J6 U
Sep 4 17:40:20 UNIX xinetd[711]: START: telnet pid=2016 from=10.152.8.2
! n1 w) p* S, O5 O& B6 e8 o8 c# T
/var/log/lastlog " D& x" U% v. J( |; S5 y
, D: ~5 }( A" s: w; _+ Z3 o' W
# @! ?4 d5 k" U1 |3 ?7 ~% Z9 l
4 @3 V: d! Y. c* `6 s
该日志文件记录最近成功登录的事件和最后一次不成功的登录事件,由login生成。在每次用户登录时被查询,该文件是二进制文件,需要使用 lastlog命令查看,根据UID排序显示登录名、端口号和上次登录时间。如果某用户从来没有登录过,就显示为"**Never logged in**"。该命令只能以root权限执行。简单地输入lastlog命令后就会看到类似如下的信息: ' `0 r- x) ]9 ]- e3 E( a0 U! r. V
* a3 p. ^+ t% ?& I2 }# D# }
QUOTE: ' D- N( s% h6 B* q. q+ `" {8 c
- @; V$ _- a1 q3 G& E) u
Username Port From Latest 4 V) x2 N' T/ i) \& z4 ?+ D, B3 U
root tty2 Tue Sep 3 08:32:27 +0800 2002 ; y1 m$ O2 U* l" H
bin **Never logged in**
daemon **Never logged in**
# R" H0 z: t% Y9 z$ e$ M) Z
adm **Never logged in**
lp **Never logged in** 7 N% A9 H" O5 g" i9 q7 I- O
W9 }' f1 s! t& k( d
sync **Never logged in** 7 o5 `4 J7 r2 D# L* F
" X$ F& A) L% h) q) @6 K
shutdown **Never logged in**
halt **Never logged in**
mail **Never logged in**
% H: @$ Y& X, I+ d& o- l/ [
news **Never logged in** * m& p6 d5 G% \+ l; _; ]
uucp **Never logged in** 1 _9 X6 V" F* D4 w+ A4 {% t
6 M6 r# X. A( h2 q8 @1 Z1 @2 ]: \
operator **Never logged in**
games **Never logged in** 5 W- I3 I; {) t r
gopher **Never logged in** * _/ L9 h1 [! T; U: W8 x' p/ ~1 Z
ftp ftp UNIX Tue Sep 3 14:49:04 +0800 2002
nobody **Never logged in** ) q# t& t' G; c) H7 }2 m
nscd **Never logged in**
- {" b. L! a: a7 }
mailnull **Never logged in**
ident **Never logged in**
d8 ?/ T6 x6 M; {6 [
rpc **Never logged in**
rpcuser **Never logged in** ! s# r# H& V1 `/ v" B9 B
xfs **Never logged in** ' Z& C) N( k) P* G& z
gdm **Never logged in**
postgres **Never logged in**
/ O! L: }7 O" ~8 }. j
apache **Never logged in**
4 w+ l& {4 b% l% p( t" Z; U0 ~6 h# m: ~
lzy tty2 Mon Jul 15 08:50:37 +0800 2002
suying tty2 Tue Sep 3 08:31:17 +0800 2002 ! J8 i8 p$ S5 o
2 w) B P; m- L8 j8 Z" o( T% u
系统账户诸如bin、daemon、adm、uucp、mail等决不应该登录,如果发现这些账户已经登录,就说明系统可能已经被入侵了。若发现记录的时间不是用户上次登录的时间,则说明该用户的账户已经泄密了。 4 Z4 c }/ z& B; A r/ I/ A
- b* S$ H2 i ~7 X! P9 W- k
/var/log/wtmp
. p+ \' F% O3 \/ h# J0 |
9 M" {7 \8 Q: n' w
该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件。因此随着系统正常运行时间的增加,该文件的大小也会越来越大,增加的速度取决于系统用户登录的次数。该日志文件可以用来查看用户的登录记录,last命令就通过访问这个文件获得这些信息,并以反序从后向前显示用户的登录记录,last也能根据用户、终端 tty或时间显示相应的记录。
相关文章推荐
- RedHat系统常见的日志文件详解完
- RedHat系统常用的日志文件详解二
- RedHat系统常用的日志文件详解三
- linux系统之日志文件系统详解
- Linux系统常见的日志文件和常用命令
- RedHat 常见日志文件及常用命令
- innodb存储引擎之二进制日志文件ROW和STATEMENT格式以及重做日志文件分析与系统恢复详解(未完待续)
- ACE日志系统之C/S模式配置文件详解
- 【夯实Mysql基础】MySQL在Linux系统下配置文件及日志详解
- ios系统 ipa文件 打包流程详解 及 常见问题处理
- 云服务器 ECS Linux 系统中常见的日志文件介绍
- linux 系统常见的日志文件和常用命令
- linux系统之日志文件系统详解
- linux命令:grub 文件详解及grub修复,系统常见故障修复
- PHP 文件系统详解
- FatFS文件系统详解-附移植建议
- Linux系统日志管理(redhat)
- redboot下jffs2文件系统详解
- RDIFramework.NET — 基于.NET的快速信息化系统开发框架- 5.4平台日志、异常管理、生成自动升级配置文件模块
- Linux 系统 ldirectord.cf 文件详解