Linux中常見的日誌檔案和命令
【IT168 伺服器學院】成功地管理任何系統的關鍵之一,是要知道系統中正在發生什麼事。Linux 中提供了異常日誌,並且日誌的細節是可配置的。Linux 日誌都以明文形式儲存,所以使用者不需要特殊的工具就可以搜尋和閱讀它們。還可以編寫指令碼,來掃描這些日誌,並基於它們的內容去自動執行某些功能。Linux 日誌儲存在 /var/log 目錄中。這裡有幾個由系統維護的日誌檔案,但其他服務和程式也可能會把它們的日誌放在這裡。大多數日誌只有root賬戶才可以讀,不過修改檔案的訪問許可權就可以讓其他人可讀。
RedHat Linux常用的日誌檔案
RedHat Linux常見的日誌檔案詳述如下
/var/log/boot.log
該檔案記錄了系統在引導過程中發生的事件,就是Linux系統開機自檢過程顯示的資訊。
/var/log/cron
該日誌檔案記錄crontab守護程序crond所派生的子程序的動作,前面加上使用者、登入時間和PID,以及派生出的程序的動作。CMD的一個動作是cron派生出一個排程程序的常見情況。REPLACE(替換)動作記錄使用者對它的cron檔案的更新,該檔案列出了要週期性執行的任務排程。RELOAD動作在REPLACE動作後不久發生,這意味著cron注意到一個使用者的cron檔案被更新而cron需要把它重新裝入記憶體。該檔案可能會查到一些反常的情況。
/var/log/maillog
該日誌檔案記錄了每一個傳送到系統或從系統發出的電子郵件的活動。它可以用來檢視使用者使用哪個系統傳送工具或把資料傳送到哪個系統。下面是該日誌檔案的片段:
Sep 4 17:23:52 UNIX sendmail[1950]: g849Npp01950: from=root, size=25,
class=0, nrcpts=1,
msgid=<[email protected]>,
[email protected]
Sep 4 17:23:55 UNIX sendmail[1950]: g849Npp01950: [email protected],
ctladdr=root (0/0), delay=00:00:04, xdelay=00:00:03, mailer=esmtp, pri=30025,
relay=fcceec.net. [10.152.8.2], dsn=2.0.0, stat=Sent (Message queued)
/var/log/messages
該日誌檔案是許多程序日誌檔案的彙總,從該檔案可以看出任何入侵企圖或成功的入侵。如以下幾行:
Sep 3 08:30:17 UNIX login[1275]: FAILED LOGIN 2 FROM (null) FOR suying,
Authentication failure
Sep 4 17:40:28 UNIX -- suying[2017]: LOGIN ON pts/1 BY suying FROM
fcceec.www.ec8.pfcc.com.cn
Sep 4 17:40:39 UNIX su(pam_unix)[2048]: session opened for user root by suying(uid=999)
該檔案的格式是每一行包含日期、主機名、程式名,後面是包含PID或核心標識的方括號、一個冒號和一個空格,最後是訊息。該檔案有一個不足,就是被記錄的入侵企圖和成功的入侵事件,被淹沒在大量的正常程序的記錄中。但該檔案可以由/etc/syslog檔案進行定製。由/etc/syslog.conf配置檔案決定系統如何寫入/var/messages。有關如何配置/etc/syslog.conf檔案決定系統日誌記錄的行為,將在後面詳細敘述。
/var/log/syslog
預設RedHat Linux不生成該日誌檔案,但可以配置/etc/syslog.conf讓系統生成該日誌檔案。它和/etc/log/messages日誌檔案不同,它只記錄警告資訊,常常是系統出問題的資訊,所以更應該關注該檔案。要讓系統生成該日誌檔案,在/etc/syslog.conf檔案中加上:*.warning /var/log/syslog 該日誌檔案能記錄當用戶登入時login記錄下的錯誤口令、Sendmail的問題、su命令執行失敗等資訊。下面是一條記錄:
Sep 6 16:47:52 UNIX login(pam_unix)[2384]: |
該日誌檔案記錄最近成功登入的事件和最後一次不成功的登入事件,由login生成。在每次使用者登入時被查詢,該檔案是二進位制檔案,需要使用lastlog命令檢視,根據UID排序顯示登入名、埠號和上次登入時間。如果某使用者從來沒有登入過,就顯示為"**Never logged in**"。該命令只能以root許可權執行。簡單地輸入lastlog命令後就會看到類似如下的資訊:
Username Port From Latest
root tty2 Tue Sep 3 08:32:27 +0800 2002
bin **Never logged in**
daemon **Never logged in**
adm **Never logged in**
lp **Never logged in**
sync **Never logged in**
shutdown **Never logged in**
halt **Never logged in**
mail **Never logged in**
news **Never logged in**
uucp **Never logged in**
operator **Never logged in**
games **Never logged in**
gopher **Never logged in**
ftp ftp UNIX Tue Sep 3 14:49:04 +0800 2002
nobody **Never logged in**
nscd **Never logged in**
mailnull **Never logged in**
ident **Never logged in**
rpc **Never logged in**
rpcuser **Never logged in**
xfs **Never logged in**
gdm **Never logged in**
postgres **Never logged in**
apache **Never logged in**
lzy tty2 Mon Jul 15 08:50:37 +0800 2002
suying tty2 Tue Sep 3 08:31:17 +0800 2002
|
系統賬戶諸如bin、daemon、adm、uucp、mail等決不應該登入,如果發現這些賬戶已經登入,就說明系統可能已經被入侵了。若發現記錄的時間不是使用者上次登入的時間,則說明該使用者的賬戶已經洩密了。
/var/log/wtmp
該日誌檔案永久記錄每個使用者登入、登出及系統的啟動、停機的事件。因此隨著系統正常執行時間的增加,該檔案的大小也會越來越大,增加的速度取決於系統使用者登入的次數。該日誌檔案可以用來檢視使用者的登入記錄,last命令就通過訪問這個檔案獲得這些資訊,並以反序從後向前顯示使用者的登入記錄,last也能根據使用者、終端 tty或時間顯示相應的記錄。
命令last有兩個可選引數:
last -u 使用者名稱 顯示使用者上次登入的情況。
last -t 天數 顯示指定天數之前的使用者登入情況。
/var/run/utmp
該日誌檔案記錄有關當前登入的每個使用者的資訊。因此這個檔案會隨著使用者登入和登出系統而不斷變化,它只保留當時聯機的使用者記錄,不會為使用者保留永久的記錄。系統中需要查詢當前使用者狀態的程式,如 who、w、users、finger等就需要訪問這個檔案。該日誌檔案並不能包括所有精確的資訊,因為某些突發錯誤會終止使用者登入會話,而系統沒有及時更新 utmp記錄,因此該日誌檔案的記錄不是百分之百值得信賴的。
以上提及的3個檔案(/var/log/wtmp、/var/run/utmp、/var/log/lastlog)是日誌子系統的關鍵檔案,都記錄了使用者登入的情況。這些檔案的所有記錄都包含了時間戳。這些檔案是按二進位制儲存的,故不能用less、cat之類的命令直接檢視這些檔案,而是需要使用相關命令通過這些檔案而檢視。其中,utmp和wtmp檔案的資料結構是一樣的,而lastlog檔案則使用另外的資料結構,關於它們的具體的資料結構可以使用man命令查詢。
每次有一個使用者登入時,login程式在檔案lastlog中檢視使用者的UID。如果存在,則把使用者上次登入、登出時間和主機名寫到標準輸出中,然後login程式在lastlog中記錄新的登入時間,開啟utmp檔案並插入使用者的utmp記錄。該記錄一直用到使用者登入退出時刪除。utmp檔案被各種命令使用,包括who、w、users和finger。
下一步,login程式開啟檔案wtmp附加使用者的utmp記錄。當用戶登入退出時,具有更新時間戳的同一utmp記錄附加到檔案中。wtmp檔案被程式last使用。
/var/log/xferlog
該日誌檔案記錄FTP會話,可以顯示出使用者向FTP伺服器或從伺服器拷貝了什麼檔案。該檔案會顯示使用者拷貝到伺服器上的用來入侵伺服器的惡意程式,以及該使用者拷貝了哪些檔案供他使用。
該檔案的格式為:第一個域是日期和時間,第二個域是下載檔案所花費的秒數、遠端系統名稱、檔案大小、本地路徑名、傳輸型別(a:ASCII,b:二進位制)、與壓縮相關的標誌或tar,或"_"(如果沒有壓縮的話)、傳輸方向(相對於伺服器而言:i代表進,o代表出)、訪問模式(a:匿名,g:輸入口令,r:真實使用者)、使用者名稱、服務名(通常是ftp)、認證方法(l:RFC931,或0),認證使用者的ID或"*"。下面是該檔案的一條記錄:
Wed Sep 4 08:14:03 2002 1 UNIX 275531
/var/ftp/lib/libnss_files-2.2.2.so b _ o a [email protected] ftp 0 * c
/var/log/kernlog
|
RedHat Linux預設沒有記錄該日誌檔案。要啟用該日誌檔案,必須在/etc/syslog.conf檔案中新增一行:kern.* /var/log/kernlog 。這樣就啟用了向/var/log/kernlog檔案中記錄所有核心訊息的功能。該檔案記錄了系統啟動時載入裝置或使用裝置的情況。一般是正常的操作,但如果記錄了沒有授權的使用者進行的這些操作,就要注意,因為有可能這就是惡意使用者的行為。
該日誌檔案記錄了X-Window啟動的情況。另外,除了/var/log/外,惡意使用者也可能在別的地方留下痕跡,應該注意以下幾個地方:root和其他賬戶的shell歷史檔案;使用者的各種郵箱,如.sent、mbox,以及存放在/var/spool/mail/ 和 /var/spool/mqueue中的郵箱;臨時檔案/tmp、/usr/tmp、/var/tmp;隱藏的目錄;其他惡意使用者建立的檔案,通常是以"."開頭的具有隱藏屬性的檔案等。
具體命令
wtmp和utmp檔案都是二進位制檔案,它們不能被諸如tail之類的命令剪貼或合併(使用cat命令)。使用者需要使用who、w、users、last和ac等命令來使用這兩個檔案包含的資訊。
who命令
who命令查詢utmp檔案並報告當前登入的每個使用者。who的預設輸出包括使用者名稱、終端型別、登入日期及遠端主機。例如,鍵入who命令,然後按回車鍵,將顯示如下內容:
chyang pts/0 Aug 18 15:06
ynguo pts/2 Aug 18 15:32
ynguo pts/3 Aug 18 13:55
lewis pts/4 Aug 18 13:35
ynguo pts/7 Aug 18 14:12
ylou pts/8 Aug 18 14:15
|
如果指明瞭wtmp檔名,則who命令查詢所有以前的記錄。命令who /var/log/wtmp將報告自從wtmp檔案建立或刪改以來的每一次登入。
相關推薦
Linux中操作日誌檔案的命令
昨天總結了日誌的一些用法和在程式中打日誌的重要性,今天來說說如何看日誌,linux系統下如何檢視日誌。 最常用的命令: tail -f + 日誌檔名 這種方式可以檢視正在改變的日誌檔案,它會把日誌裡最尾部的內容顯示在螢幕上,並且不斷重新整理,使你看到最新的檔案內容。 ta
linux中常見的檔案操作命令
由於經常在linux釋出工程進行測試,所以要用到linux一些檔案操作命令,再此進行總結,以便以後忘記的時候檢視。 改變目錄:cd 回到使用者目錄 cd或者cd~ 檢視當前目錄:pwd 檢視目錄下的檔案的詳細資訊:ls -l /tmp(顯示的最近一次修改
Linux中常見的日誌檔案和命令
【IT168 伺服器學院】成功地管理任何系統的關鍵之一,是要知道系統中正在發生什麼事。Linux 中提供了異常日誌,並且日誌的細節是可配置的。Linux 日誌都以明文形式儲存,所以使用者不需要特殊的工具就可以搜尋和閱讀它們。還可以編寫指令碼,來掃描這些日誌,並基於它們的內容去
linux中mysql配置檔案和jdk環境變數
mysql配置檔案 [client]default-character-set = utf8mb4 [mysql]socket = /var/lib/mysql/mysql.sockdefault-character-set = utf8mb4 [mysqld]skip-name-resolveport
Linux中常用的檔案檢視命令
cat 常用的檢視命令 引數 解釋 -A 整合命令-vET -b 列出行號,但是空白行不標誌行號 -E 將結
Linux中檢視日誌的常用命令
瞎說 工作嘛,檢視日誌是當然的了。伺服器程式一般執行在Linux機器上,日誌自然也在上面。這裡總結幾個常用的檢視日誌的命令,以作備忘並不時更新。 乾貨 命令 說明 cat ***.log |grep ‘abc’
Linux中硬連結檔案和軟連結檔案的區別
我這邊說的是初學者最容易不清楚的概念,如果要知道更深的原理,網上都有。 1.硬連結相當於windows的複製,原始檔刪除不會影響到創建出來的硬連結;硬連結刪除也不會影響到原始檔。(指向同一個inode節點) 2軟連線相當於windows中的快捷式,原始檔刪除了會是創建出來的
linux中iptables配置檔案及命令詳解詳解
ilter 這個規則表是預設規則表,擁有INPUT、FORWARD 和 OUTPUT三個規則鏈,這個規則表顧名思義是用來進行封包過濾的理動作(例如:DROP、 LOG、 ACCEPT 或 REJECT),我們會將基本規則都建立在此規則表中。 主要包含:命令表 用來增加
linux中/etc/passwd檔案和/etc/shadow檔案與/etc/group的解析
1. /etc/passwd檔案內容格式: 使用者名稱: 密碼 : uid : gid :使用者描述:主目錄:登陸shell #cat /etc/passwd //利用cat命令開啟檢視passwd內容 root:x:0:0:Superuser
Linux中檢視文字檔案內容命令cat/tac/nl/more/less/head/tail/vi總結
概述 在Linux系統下,有很多命令可以檢視文字檔案的內容,如cat/tac/nl/more/less/head/tail等命令,當然還有vi/nano等文字編輯器。在這裡,我只介紹其中自己常用的一部分命令和操作。 cat:從第一行開始顯示全部的文字內容;
Linux中常見日誌文件的介紹
重新啟動 計算機 tmp 引導 syslog linux 消息 可能 錯誤 /var / log / cron:記錄crond計劃任務相關的時間信息; 一、內核及系統日誌分析 /var / log / messages:記錄Linux內核消息及各種應用程序的公共日誌信息,包
Linux中檢視日誌檔案的正確姿勢,求你別tail走天下了!
作為一個後端開發工程師,在Linux中檢視檢視檔案內容是基本操作了。尤其是通常要分析日誌檔案排查問題,那麼我們應該如何正確開啟日誌檔案呢?對於筆者這種小菜雞來說,第一反應就是 cat,tail,vi(或vim)了,是的,我曾經用過好多次vim編輯器來檢視日誌檔案。 千萬不要使用vi命令來檢視大檔案內容, 尤其
linux中的頁快取和檔案IO
一篇比較好的關於頁快取的描述文章一篇比較好的關於頁快取的描述文章 雖然仔細看過《linux核心設計與實現》,也參考了很多的部落格,並且做了linux程序空間、address_space和檔案的關係圖(設為圖1,參考部落格),但是對於頁快取和檔案IO之間關係的細節一直不是特別明朗。趁著元旦假期看的
Linux 建立、刪除檔案和資料夾命令
建立資料夾【mkdir】 一、mkdir命令使用許可權 所有使用者都可以在終端使用 mkdir 命令在擁有許可權的資料夾建立資料夾或目錄。 二、mkdir命令使用格式 格式:mkdir [選項] DirName 三、mkdir命令功能 通過 mkdir 命令
Linux中apt-get update和apt-get upgrade命令的區別
前言 本文主要講一下在linux下安裝軟體方面的特點。但在Linux下,不是這樣的。每個LINUX的發行版,比如ubuntu,都會維護一個自己的軟體倉庫,我們常用的幾乎所有軟體都在這裡面。這裡面的軟體絕對安全,而且絕對的能正常安裝。在ubuntu下,我們維護一個
linux 中更改使用者許可權和使用者組的命令chmod,chgrp例項
linux 中更改使用者許可權和使用者組的命令例項; 增加許可權給當前使用者 chmod +wx filename chmod -R 777 /upload 使用者組 chgrp -R foldname zdz chown -R 所有者使用者名稱.組名
Linux學習日誌--檔案搜尋命令
開頭總結: 學習了Linux中的檔案搜尋命令find和locate,系統搜尋命令whereis 和which ,字串搜尋命令grep,find和locate的區別和用法格式,什麼是path環境變數以及其好處,whereis和which的用法,區別在於查詢系統命令內容的不同
linux 複製目錄中含有隱藏檔案和連結如何處理
1. cp -Rp ——-不會複製隱藏檔案,符號連結的建立時間改變為複製時間了,硬連結被作為檔案複製了, 2 cp -a ————-可以作為比較小的複製,資料量大,可能因記憶體不足,導致失敗 3 tar cvf - * | (cd /dest/
linux中的訊號簡介和trap命令
1.訊號 linux通過訊號來在執行在系統上的程序之間通訊,也可以通過訊號來控制shell指令碼的執行 主要有一下訊號 1 ##程序重新載入配置 2 ##刪除程序在記憶體中的資料 3 ##刪除滑鼠在記憶體中的資料 9
linux中執行jar檔案並寫入日誌
建立新檔案 touch config-server.log 然後執行nohup java -jar cloud-config-server .jar >config-server.log 2>&1 & 檢視程序 ps aux|grep c