全部博文(2759)
分类: 系统运维
2013-05-18 00:24:20
原文地址:Linux系统日志文件 作者:wfeng
这里先大略 先容 一下Linux日记 文件,和有关Linux日记 文件的范例 ,以及对有相干统 做事的日记 的范例 。学习Linux日记 文件工夫相等故意 义的知识点。
日记 对付 安详来说,非常重要 ,他记实 了体系 每天 发生的种种 千般的事变 ,你可以通过他来反省 过错 发生的缘故起因 ,可能受到进攻时进攻者留下的陈迹 。日记 重要 的功能有:审计和监测。他还可以及时 的监测体系 状况 ,监测和追踪侵入者等等。
在Linux体系
中,有三个重要
的日记
子体系
:
毗连
工夫日记
--由多个措施推行
,把记录
写入到/var/log/wtmp和/var/run/utmp,login等措施更新wtmp和utmp文件,使体系
管理
员可以或许
跟踪谁在何时登录到体系
。
进程
统计--由体系
内核推行
。当一个进程
住手时,为每个进程
往进程
统计文件(pacct或acct)中写一个记录
。进程
统计的方针是为体系
中的根本
做事供给
下令
应用
统计。
过错
日记
--由syslogd(8)推行
。种种
体系
守卫进程
、用户措施和内核通过syslog(3)向文件/var/log/messages陈诉
值得留意
的变乱
。其它有很多
UNIX措施创建
日记
。像HTTP和FTP如许
供给
网络做事的做事器也维持
具体
的日记
。
常用的日记
文件如下:
access-log 记录
HTTP/web的传输
acct/pacct 记录
用户下令
aculog 记录
MODEM的活动
btmp 记录
失败的记录
lastlog 记录
近来
屡次乐成
登录的变乱
和末了
一次不乐成
的登录
messages 从syslog中记实
信息(有的链接到syslog文件)
sudolog 记录
应用
sudo发出的下令
sulog 记录
应用
su下令
的应用
syslog 从syslog中记实
信息(通常链接到messages文件)
utmp 记录
当前登录的每个用户
wtmp 一个用户每次登录进入和退出工夫的永世
记录
xferlog 记录
FTP会话
utmp、wtmp和lastlog日记
文件是多数重用UNIX日记
子体系
的关键--维持
用户登录进入和 退出的记录
。有关当前登任命
户的信息记实
在文件utmp中;登录进入和退出记录
在文件 wtmp中;末了
一次登录文件可以用lastlog下令
观察
。数据交换、关机和重起也记实
在wtmp文件中。全部
的记录
都包孕
工夫戳。这些文件(lastlog通常不大)在具有大宗用户 的体系
中增添异常敏捷
。譬喻wtmp文件可以无限增添,除非定期截取。很多
体系
以一天 可能一周为单位
把wtmp设置
成循环应用
。它通常由cron运行的脚本来
批改。这些脚本重新定名
并循环应用
wtmp文件。通常,wtmp在第一天收场
后定名
为wtmp.1;第二天后wtmp .1变为wtmp.2等等,直到wtmp.7。
每次有一个用户登录时,login措施在文件lastlog中观察
用户的UID。假如
找到了,则把用户前次
登录、退出工夫和主机名写到标准
输出中,然后login措施在lastlog中记录
新的登录工夫。在新的lastlog记录
写入后,utmp文件打开并插入用户的utmp记录
。该记录
不停
用到用户登录退出时删除。utmp文件被种种
下令
文件应用
,包孕who、w、users和finger。
下一步,login措施打开文件wtmp附加用户的utmp记录
。当用户登录退出时,具有更新时 间戳的同一utmp记录
附加到文件中。wtmp文件被措施last和ac应用