Monthly Archives: June 2008

Freebsd 系统日志分析 系统日志对于服务器安全来说非常重要,它记录了系统每天发生的各种各样的事情,我们可以通过检查系统日志来分析错误的原因,查看受到攻击时,攻击者留下的痕迹,还可以实时监测系统状态，监测和追踪入侵者等等. 日志主要分三部分: 1．连接时间日志，由login等程序更新，使系统管理员能够跟踪谁在何时登录到系统，纪录写入到/var/log/wtmp和/var/run/utmp。 2．错误日志–由syslogd（8）执行。各种系统守护进程、用户程序和内核通过syslog向文件/var/log/messages报告值得注意的事件。 3．另外有许多UNIX程序创建日志。像HTTP和FTP这样提供网络服务的服务器也保持详细的日志。 常用的系统日志包括: access-log 记录http/web的传输 acct/pact 记录用户命令 aculog 记录MODEM的活动 btmp 记录失败的纪录 lastlog 记录最近几次成功登录的事件和最后一次不成功的登录 messages 从syslog中记录信息（有的链接到syslog文件） sudolog 记录使用sudo发出的命令 sulog 记录使用su命令的使用 syslog 从syslog中记录信息（通常链接到messages文件） utmp 记录当前登录的每个用户 wtmp 一个用户每次登录进入和退出时间的永久记录 xferlog 记录ftp会话 系统日志大多为二进制形式，不能使用tail和cat等命令查看，但是我们可以使用以下命令去获取其中的信息，主要为who、w、users、last和ac。 who：who命令查询utmp文件并报告当前登录的每个用户。Who的缺省输出包括用户名、终端类型、登录日期及远程主机。格式：who /var/log/wtmp 或者who /var/run/utmp w：w命令查询utmp文件并显示当前系统中每个用户和它所运行的进程信息。 users：users用单独的一行打印出当前登录的用户，每个显示的用户名对应一个登录会话。 last：last命令往回搜索wtmp来显示自从文件第一次创建以来登录过的用户，还可以指明某一用户，例：last … Continue reading →