RedHat常见的日志文件和常用命令

　syslog设备

　　syslog已被许多日志函数采纳，它用在许多保护措施中。任何程序都可以通过syslog 记录事件。syslog可以记录系统事件，可以写到一个文件或设备中，或给用户发送一个信息。它能记录本地事件或通过网络记录另一个主机上的事件。

　　syslog设备依据两个重要的文件：/etc/syslogd（守护进程）和/etc/syslog.conf配置文件。习惯上，多数syslog 信息被写到/var/adm或/var/log目录下的信息文件中（messages.*）。一个典型的syslog记录包括生成程序的名字和一个文本信息。它还包括一个设备和一个优先级范围（但不在日志中出现）。

　　每个syslog消息被赋予下面的主要设备之一：

　　QUOTE:

　　LOG_AUTH：认证系统login、su、getty等。

　　LOG_AUTHPRIV：同LOG_AUTH，但只登录到所选择的单个用户可读的文件中。

　　LOG_CRON：cron守护进程。

　　LOG_DAEMON：其他系统守护进程，如routed。

　　LOG_FTP：文件传输协议ftpd、tftpd。

　　LOG_KERN：内核产生的消息。

　　LOG_LPR：系统打印机缓冲池lpr、lpd。

　　LOG_MAIL：电子邮件系统。

　　LOG_NEWS：网络新闻系统。

　　LOG_SYSLOG：由syslogd（8）产生的内部消息。

　　LOG_USER：随机用户进程产生的消息。

　　LOG_UUCP：UUCP子系统。

　　LOG_LOCAL0~LOG_LOCAL7：为本地使用保留。

　　syslog为每个事件赋予几个不同的优先级：

　　LOG_EMERG：紧急情况。

　　LOG_ALERT：应该被立即改正的问题，如系统数据库被破坏。

　　LOG_CRIT：重要情况，如硬盘错误。

　　LOG_ERR：错误。

　　LOG_WARNING：警告信息。

　　LOG_NOTICE：不是错误情况，但是可能需要处理。

　　LOG_INFO：情报信息。

　　LOG_DEBUG：包含情报的信息，通常只在调试一个程序时使用。

　　syslog.conf文件指明syslogd程序记录日志的行为，该程序在启动时查询配置文件。该文件由不同程序或消息分类的单个条目组成，每个占一行。对每类消息提供一个选择域和一个动作域。这些域由tab符隔开：选择域指明消息的类型和优先级；动作域指明syslogd接收到一个与选择标准相匹配的消息时所执行的动作。每个选项是由设备和优先级组成的。当指明一个优先级时，syslogd将记录一个拥有相同或更高优先级的消息。所以如果指明 "crit"，那所有标为crit、alert和emerg的消息将被记录。每行的行动域指明当选择域选择了一个给定消息后应该把它发送到哪儿。例如，如果想把所有邮件消息记录到一个文件中，如下所示：

　　QUOTE:

　　#Log all the mail messages in one place

　　mail.* /var/log/maillog

　　其他设备也有自己的日志。UUCP和news设备能产生许多外部消息。它把这些消息存到自己的日志（/var/log/spooler）中并把级别限为"err"或更高。例如：

　　QUOTE:

　　# Save mail and news errors of level err and higher in aspecial file.

　　uucp,news.crit /var/log/spooler

　　当一个紧急消息到来时，可能想让所有的用户都得到，也可能想让自己的日志接收并保存：

　　QUOTE:

　　#Everybody gets emergency messages， plus log them on anther machine

　　*.emerg *

　　*.emerg @linuxaid.com.cn

　　alert消息应该写到root和tiger的个人账号中：

　　QUOTE:

　　#Root and Tiger get alert and higher messages

　　*.alert root,tiger

　　有时syslogd将产生大量的消息。例如，内核（"kernel"设备）可能很冗长。用户可能想把内核消息记录到/dev/console中。下面的例子表明内核日志记录被注释掉了：

　　QUOTE:

　　#Log all kernel messages to the console

　　#Logging much else clutters up the screen

　　#kern.* /dev/console

　　用户可以在一行中指明所有的设备。下面的例子把info或更高级别的消息送到/var/log/messages，除了mail以外。级别"none"禁止一个设备：

　　QUOTE:

　　#Log anything（except mail）of level info or higher

　　#Don't log private authentication messages!

　　*.info:mail.none;authpriv.none /var/log/messages

　　在有些情况下，可以把日志送到打印机，这样网络入侵者怎么修改日志就都没有用了。通常要广泛记录日志。syslog设备是一个攻击者的显著目标。一个为其他主机维护日志的系统对于防范服务器攻击特别脆弱，因此要特别注意。

　　有个小命令logger为syslog（3）系统日志文件提供一个shell命令接口，使用户能创建日志文件中的条目。

　　用法：logger　

　　例如：logger This is a test！

　　它将产生一个如下的syslog记录：Aug 19 22:22:34 tiger: This is a test!

　　注意，不要完全相信日志，因为攻击者很容易修改它的。

　　程序日志与其他

　　许多程序通过维护日志来反映系统的安全状态。su命令允许用户获得另一个用户的权限，所以它的安全很重要，它的日志文件为sulog。同样的还有 sudolog。另外，像Apache有两个日志：access_log和error_log。还有一些常用到的其他日志工具，我们就不一一阐述了，有兴趣的读者可以参考下边网址的内容。

　　QUOTE:

　　Chklastlog：

　　ftp://coast.cs.purdue.edu/pub/tools/unix/chklastlog/

　　chkwtmp：

　　ftp://coast.cs.purdue.edu/pub/tools/unix/chkwtmp/

　　dump_lastlog：

　　ftp://coast.cs.purdue.edu/pub/tools/unix/dump_lastlog.Z

　　spar：

　　ftp://coast.cs.purdue.edu/pub/tools/unix/TAMU/

　　Swatch：

　　http://www.lomar.org/komar/alek/pres/swatch/cover.html

　　Zap：

　　ftp://caost.cs.purdue.edu/pub/tools/unix/zap.tar.gz

最新相关文章

• ·三十种Linux操作系统发行版名称含义详解
• ·Linux操作系统下DHCP服务器配置方法介绍
• ·Linux系统原理知识 进程切换的概念介绍
• ·Linux操作系统下即插即用功能的实现方法
• ·基础知识：什么是Fedora Linux
• ·Ubuntu Linux系统启动速度慢的问题解决
• ·在Linux操作系统下手动分析病毒样本技巧
• ·实用技巧：SUSE Linux系统下VNC远程控制
• ·维护必读 SUSE Linux登录黑屏解决方法
• ·Linux操作系统下生成引导盘与驱动程序盘
• ·给初学者 编译Linux系统内核的方法步骤
• ·菜鸟入门 Linux操作系统下安全配置六招
• ·Linux系统下通过GPRS模块拨号上网的方法
• ·高手进阶 Linux系统下驱动程序框架概述
• ·Linux操作系统下安装声卡驱动的方法总结
• ·Linux下Openoffice的安装方法