Linux系统日志审计

Linux系统日志审计

  • 日志子系统
    • 1.连接时间日志
      • auth.log / secure SSH登录日志
    • 2.进程统计
    • 3.错误日志
  • 其他日志
  • 安装日志

日志子系统

在Linux系统中,有三个主要的日志子系统:

1.连接时间日志

登陆系统的时间和IP
记录文件:/var/log/wtmp/var/run/utmplogin

auth.log / secure SSH登录日志

auth.log:
会记录ssh登陆的IP和端口

cat auth.log |grep Accepted

在这里插入图片描述

SSH登录日志 : secure(CentOS)或者auth.log(Ubuntu)

https://blog.51cto.com/winhe/2114533

2.进程统计

由系统内核执行,当一个进程终止时,为每个进程往进程统计文件(pacct或acct)中写一个纪录,进程统计的目的是为系统中的基本服务提供命令使用统计。

当用户发现最近服务器有异常时,可以开启进程监视统计功能,所有记录信息会写入/var/log/account/pacct和/var/log/account/acct中
启动:accton /var/log/account/pacct或者accton on
显示进程统计:lastcomm
停止进程统计:accton

sa |more  
用于报告,清理并维护进程统计日志,将/var/account/pacct的日志文件压缩到/var/log/savacc和/var/log/usracc文件中,其中savacc是基于命令名称索引的,而usracc基于用户名进行索引的
其中re:实例时间,分钟为单位
   CP:表示系统和用户的使用时间,分钟为单位
sa -u |grep root|more
显示root用户的进程数和使用命令所占用CPU及系统的时间
sa -m 
显示每个用户的进程数量和CPU数

在这里插入图片描述
lastcomm
Linux系统日志审计_第1张图片
sa -u
在这里插入图片描述
sa -m
Linux系统日志审计_第2张图片

3.错误日志

由syslogd(8)执行。各种系统守护进程、用户程序和内核通过syslog(3)向文件/var/log/messages报告值得注意的事件。


其他日志

其他程序如中间件、FTP 也会生成日志,常用的日志文件如下:

access.log 记录HTTP/web的传输
acct/pacct 纪录用户命令
aculog 纪录MODEM的活动
messages 从syslog中记录信息(有的链接到syslog文件)
sudolog 纪录使用sudo发出的命令
sulog 纪录使用su命令的使用
syslog 从syslog中记录信息(通常链接到messages文件)
记录服务器曾经同步时间的 网络时间协议(NTP)服务器 的网络地址IP
btmp 登陆失败的纪录
utmp 纪录当前登录的每个用户
wtmp 一个用户每次登录进入和退出时间的永久纪录
lastlog 纪录最近几次成功登录的事件和最后一次不成功的登录
xferlog 纪录FTP会话


安装日志

/var/log/installer/installer-journal.txt

特别是搭lvm的时候会有记录

参考文章:
https://www.hacking8.com/MiscSecNotes/linux-check-pentest.html

你可能感兴趣的:(取证,#,linux,linux,服务器,运维,日志)