Linux常见日志文件和常用命令

来源：作者：出处：巧巧读书 2006-08-06 进入讨论组

上一页 1 2

QUOTE:

rong 5 202.38.64.187 Fri Aug 18 15:57:01 +0800 2000

dbb **Never logged in**

xinchen **Never logged in**

pb9511 **Never logged in**

xchen 0 202.38.64.190 Sun Aug 13 10:01:22 +0800 2000

另外，可加一些参数，例如，"last -u 102"命令将报告UID为102的用户；"last -t 7"命令表示限制为上一周的报告。

　　进程统计

　　UNIX可以跟踪每个用户运行的每条命令，如果想知道昨晚弄乱了哪些重要的文件，进程统计子系统可以告诉你。它还对跟踪一个侵入者有帮助。与连接时间日志不同，进程统计子系统默认不激活，它必须启动。在Linux系统中启动进程统计使用accton命令，必须用root身份来运行。accton命令的形式为：accton file，file必须事先存在。先使用touch命令创建pacct文件：touch /var/log/pacct，然后运行accton：accton /var/log/pacct。一旦accton被激活，就可以使用lastcomm命令监测系统中任何时候执行的命令。若要关闭统计，可以使用不带任何参数的accton命令。

　　lastcomm命令报告以前执行的文件。不带参数时，lastcomm命令显示当前统计文件生命周期内记录的所有命令的有关信息。包括命令名、用户、tty、命令花费的CPU时间和一个时间戳。如果系统有许多用户，输入则可能很长。看下面的例子：

QUOTE:

crond F root ?? 0.00 secs Sun Aug 20 00:16

promisc_check.s S root ?? 0.04 secs Sun Aug 20 00:16

promisc_check root ?? 0.01 secs Sun Aug 20 00:16

grep root ?? 0.02 secs Sun Aug 20 00:16

tail root ?? 0.01 secs Sun Aug 20 00:16

sh root ?? 0.01 secs Sun Aug 20 00:15

ping S root ?? 0.01 secs Sun Aug 20 00:15

ping6.pl F root ?? 0.01 secs Sun Aug 20 00:15

sh root ?? 0.01 secs Sun Aug 20 00:15

ping S root ?? 0.02 secs Sun Aug 20 00:15

ping6.pl F root ?? 0.02 secs Sun Aug 20 00:15

sh root ?? 0.02 secs Sun Aug 20 00:15

ping S root ?? 0.00 secs Sun Aug 20 00:15

ping6.pl F root ?? 0.01 secs Sun Aug 20 00:15

sh root ?? 0.01 secs Sun Aug 20 00:15

ping S root ?? 0.01 secs Sun Aug 20 00:15

sh root ?? 0.02 secs Sun Aug 20 00:15

ping S root ?? 1.34 secs Sun Aug 20 00:15

locate root ttyp0 1.34 secs Sun Aug 20 00:15

accton S root ttyp0 0.00 secs Sun Aug 20 00:15

　　进程统计的一个问题是pacct文件可能增长得十分迅速。这时需要交互式地或经过cron机制运行sa命令来保证日志数据在系统控制内。sa命令报告、清理并维护进程统计文件。它能把/var/log/pacct中的信息压缩到摘要文件/var/log/savacct和 /var/log/usracct中。这些摘要包含按命令名和用户名分类的系统统计数据。在默认情况下sa先读它们，然后读pacct文件，使报告能包含所有的可用信息。sa的输出有下面一些标记项。

avio：每次执行的平均I/O操作次数。

cp：用户和系统时间总和，以分钟计。

cpu：和cp一样。

k：内核使用的平均CPU时间，以1k为单位。

k*sec：CPU存储完整性，以1k-core秒为单位。

re：实时时间，以分钟计。

s：系统时间，以分钟计。

tio：I/O操作的总数。

u：用户时间，以分钟计。

例如：

QUOTE:

842 173.26re 4.30cp 0avio 358k

2 10.98re 4.06cp 0avio 299k find

9 24.80re 0.05cp 0avio 291k ***other

105 30.44re 0.03cp 0avio 302k ping

104 30.55re 0.03cp 0avio 394k sh

162 0.11re 0.03cp 0avio 413k security.sh*

154 0.03re 0.02cp 0avio 273k ls

56 31.61re 0.02cp 0avio 823k ping6.pl*

2 3.23re 0.02cp 0avio 822k ping6.pl

35 0.02re 0.01cp 0avio 257k md5sum

97 0.02re 0.01cp 0avio 263k initlog

12 0.19re 0.01cp 0avio 399k promisc_check.s

15 0.09re 0.00cp 0avio 288k grep

11 0.08re 0.00cp 0avio 332k awk

用户还可以根据用户而不是命令来提供一个摘要报告。例如，键入命令"sa -m"，将显示如下内容：

QUOTE:

885 173.28re 4.31cp 0avk

root 879 173.23re 4.31cp 0avk

alias 3 0.05re 0.00cp 0avk

qmailp 3 0.01re 0.00cp 0avk

　　syslog设备

　　syslog已被许多日志函数采纳，它用在许多保护措施中。任何程序都可以通过syslog 记录事件。syslog可以记录系统事件，可以写到一个文件或设备中，或给用户发送一个信息。它能记录本地事件或通过网络记录另一个主机上的事件。

　　syslog设备依据两个重要的文件：/etc/syslogd（守护进程）和/etc/syslog.conf配置文件。习惯上，多数syslog 信息被写到/var/adm或/var/log目录下的信息文件中（messages.*）。一个典型的syslog记录包括生成程序的名字和一个文本信息。它还包括一个设备和一个优先级范围（但不在日志中出现）。

每个syslog消息被赋予下面的主要设备之一：

QUOTE:

LOG_AUTH：认证系统login、su、getty等。

LOG_AUTHPRIV：同LOG_AUTH，但只登录到所选择的单个用户可读的文件中。

LOG_CRON：cron守护进程。

LOG_DAEMON：其他系统守护进程，如routed。

LOG_FTP：文件传输协议ftpd、tftpd。

LOG_KERN：内核产生的消息。

LOG_LPR：系统打印机缓冲池lpr、lpd。

LOG_MAIL：电子邮件系统。

LOG_NEWS：网络新闻系统。

LOG_SYSLOG：由syslogd（8）产生的内部消息。

LOG_USER：随机用户进程产生的消息。

LOG_UUCP：UUCP子系统。

LOG_LOCAL0~LOG_LOCAL7：为本地使用保留。

syslog为每个事件赋予几个不同的优先级：

LOG_EMERG：紧急情况。

LOG_ALERT：应该被立即改正的问题，如系统数据库被破坏。

LOG_CRIT：重要情况，如硬盘错误。

LOG_ERR：错误。

LOG_WARNING：警告信息。

LOG_NOTICE：不是错误情况，但是可能需要处理。

LOG_INFO：情报信息。

LOG_DEBUG：包含情报的信息，通常只在调试一个程序时使用。

　　syslog.conf文件指明syslogd程序记录日志的行为，该程序在启动时查询配置文件。该文件由不同程序或消息分类的单个条目组成，每个占一行。对每类消息提供一个选择域和一个动作域。这些域由tab符隔开：选择域指明消息的类型和优先级；动作域指明syslogd接收到一个与选择标准相匹配的消息时所执行的动作。每个选项是由设备和优先级组成的。当指明一个优先级时，syslogd将记录一个拥有相同或更高优先级的消息。所以如果指明 "crit"，那所有标为crit、alert和emerg的消息将被记录。每行的行动域指明当选择域选择了一个给定消息后应该把它发送到哪儿。例如，如果想把所有邮件消息记录到一个文件中，如下所示：

QUOTE:

#Log all the mail messages in one place

mail.* /var/log/maillog

　　其他设备也有自己的日志。UUCP和news设备能产生许多外部消息。它把这些消息存到自己的日志（/var/log/spooler）中并把级别限为"err"或更高。例如：

QUOTE:

# Save mail and news errors of level err and higher in aspecial file.

uucp,news.crit /var/log/spooler

　　当一个紧急消息到来时，可能想让所有的用户都得到，也可能想让自己的日志接收并保存：

QUOTE:

#Everybody gets emergency messages， plus log them on anther machine

*.emerg *

*.emerg @linuxaid.com.cn

　　alert消息应该写到root和tiger的个人账号中：

QUOTE:

#Root and Tiger get alert and higher messages

*.alert root,tiger

　　有时syslogd将产生大量的消息。例如，内核（"kernel"设备）可能很冗长。用户可能想把内核消息记录到/dev/console中。下面的例子表明内核日志记录被注释掉了：

QUOTE:

#Log all kernel messages to the console

#Logging much else clutters up the screen

#kern.* /dev/console

　　用户可以在一行中指明所有的设备。下面的例子把info或更高级别的消息送到/var/log/messages，除了mail以外。级别"none"禁止一个设备：

QUOTE:

#Log anything（except mail）of level info or higher

#Don't log private authentication messages!

*.info:mail.none;authpriv.none /var/log/messages

　　在有些情况下，可以把日志送到打印机，这样网络入侵者怎么修改日志就都没有用了。通常要广泛记录日志。syslog设备是一个攻击者的显著目标。一个为其他主机维护日志的系统对于防范服务器攻击特别脆弱，因此要特别注意。

有个小命令logger为syslog（3）系统日志文件提供一个shell命令接口，使用户能创建日志文件中的条目。

　　用法：logger　

　　例如：logger This is a test！

　　它将产生一个如下的syslog记录：Aug 19 22:22:34 tiger: This is a test!

　　注意，不要完全相信日志，因为攻击者很容易修改它的。

　　程序日志与其他

　　许多程序通过维护日志来反映系统的安全状态。su命令允许用户获得另一个用户的权限，所以它的安全很重要，它的日志文件为sulog。同样的还有 sudolog。另外，像Apache有两个日志：access_log和error_log。还有一些常用到的其他日志工具，我们就不一一阐述了，有兴趣的读者可以参考下边网址的内容。

QUOTE:

Chklastlog：

ftp://coast.cs.purdue.edu/pub/tools/unix/chklastlog/

chkwtmp：

ftp://coast.cs.purdue.edu/pub/tools/unix/chkwtmp/

dump_lastlog：

ftp://coast.cs.purdue.edu/pub/tools/unix/dump_lastlog.Z

spar：

ftp://coast.cs.purdue.edu/pub/tools/unix/TAMU/

Swatch：

http://www.lomar.org/komar/alek/pres/swatch/cover.html

Zap：