网络安全系列之十五 Linux日志管理1

Linux服务器一般都是被放置在机房中自动运行，管理员要了解服务器或是应用程序的运行状态，大都需要通过日志。日志文件用于记录Linux系统中各种运行消息，不同的日志文件记载了不同类型的信息，例如Linux内核消息、用户登录记录、程序错误等。日志文件对于诊断和解决系统中的问题很有帮助，因为在Linux系统中运行的程序通常会把系统消息和错误消息写入相应的日志文件，这样系统一旦出现问题就会有据可查。此外，当主机遭受攻击时，日志文件还可以帮助寻找攻击者留下的痕迹。

1. 主要日志文件

Linux系统本身和大部分服务程序的日志文件默认情况下都放置在目录“/var/log”中。有些程序会共用一个日志文件，有些程序则会使用单个日志文件，还有一些比较大型的程序由于日志文件不止一个，所以会在“/var/log”目录中建立相应的子目录来存放日志文件。有相当一部分日志文件只有root用户才有权限读取，这保证了相关日志信息的安全性。

例：查看“/var/log”目录中的各种日志文件及子目录。

在这些日志文件中，比较重要或是经常用到的有：

• /var/log/messages：记录Linux内核消息及各种应用程序的公共日志信息，包括启动、I/O错误、网络错误、程序故障等。对于未使用独立日志文件的应用程序或服务，一般都可以从该日志文件中获得相关的事件记录信息。

• /var/log/cron：记录crond计划任务产生的事件信息。

• /var/log/dmesg：记录Linux系统在引导过程中的各种事件信息。

• /var/log/maillog：记录进入或发出系统的电子邮件活动。

• /var/log/lastlog：最近几次成功登录事件和最后一次不成功登录事件。

• /var/log/rpmpkgs：记录系统中安装的各rpm包列表信息。

• /var/log/secure：记录所有与安全相关以及用户登录认证过程中的事件信息。

• /var/log/wtmp：记录每个用户登录、注销及系统启动和停机事件。

• /var/run/utmp：记录当前登录的每个用户的详细信息。

2. 查看日志文件内容

大多数的日志文件都可以使用tail、more、less、cat等文本处理工具查看日志内容，其中在大多数情况下都是使用tail命令，这样可以方便地查看到最近的日志信息。而且如果在tail命令中加上“-f”选项，还可以实时查看到日志文件中的最新信息。

通常情况下，内核及大多数系统消息都被记录到公共日志文件“/var/log/messages”中，而其它一些程序消息被记录到不同的文件中。日志消息还能够记录到特定的存储设备中，或者直接向用户发送。

例：实时监测/var/log/messages中的日志信息。

大部分日志文件中所使用的日志记录格式都是相同的。下面以公共日志文件“/var/log/messages”为例来说明日志记录的基本格式。

日志文件中的每一行表示一条消息，每个消息均由四个字段的固定格式组成。

• 时间标签：消息发出的日期和时间。

• 主机名：生成消息的计算机的名称。

• 子系统名称：发出消息的应用程序的名称。

• 消息：消息的具体内容。

例如上面所显示的最后一条消息：

Oct 21 05:22:58 localhost kernel: NFSD: starting 90-second grace period

这条消息的含义为：

10月21日05:22:58在localhost这台主机上，由内核kernel中的nfsd服务所产生的信息，信息的内容为“starting 90-second grace period”。

本文转自 yttitan 51CTO博客，原文链接:http://blog.51cto.com/yttitan/1569225