Linux日志的来龙去脉(下)

Linux日志的来龙去脉(下)

一:进程统计---进程记账,监视所有用户执行的命令

一些异常用户试图移去系统上的所有活动记录 ( 比如 ~/.bash_history), 不过我们可以使用专门的工具来监视所有用户执行的命令。推荐你使用进程记帐来记录用户的活动 , 你可以通过进程记帐查看每一个用户执行的命令 , 包括 CPU 时间和内存占用。

Psacct 程序提供了几个进程活动监视工具 : ac, lastcomm, accton 和 sa 。

ac 命令显示用户连接时间的统计。

lastcomm 命令显示系统执行的命令。

accton 命令用于打开或关闭进程记帐功能。

sa 命令统计系统进程记帐的情况。

1 ). 启动 psacct/acct 服务 ,psacct 在 RHEL4.4 中默认是不启动的 .

# chkconfig psacct on # /etc/init.d/psacct start

现在我们可以了解如何利用这些工具来监视用户的命令和时间。

2). 显示用户连线时间的统计信息

ac 在上面已经讨论

3). 查找用户过去执行的命令

你可以使用 lastcomm 命令打印出用户过去执行的命令。你也可以通过用户名 , tty 名或命令名来搜索以往执行的命令。

比如显示 root 用户过去执行的命令 :

# lastcomm root [root@localhost log]# lastcomm root | more lastcomm root pts/1 0.03 secs Wed Dec 2 14:16 crond SF root __ 0.02 secs Wed Dec 2 14:15 mrtg S root __ 0.65 secs Wed Dec 2 14:15 crond SF root __ 0.01 secs Wed Dec 2 14:10 mrtg S root __ 0.65 secs Wed Dec 2 14:10 crond SF root __ 0.02 secs Wed Dec 2 14:10 sadc S root __ 0.02 secs Wed Dec 2 14:10 crond SF root __ 0.02 secs Wed Dec 2 14:05 mrtg S root __ 0.63 secs Wed Dec 2 14:05 bash F root pts/1 0.00 secs Wed Dec 2 14:02 bash F root pts/1 0.00 secs Wed Dec 2 14:01

每一行信息都在屏幕上打印出来 , 我们以第一行输出项为例 :

lastcomm root pts/1 0.03 secs Wed Dec 2 14:16

分析 :

lastcomm 是进程的命令名。

S 和 X 是标志信息 , 由系统记帐程序管理。每一个标志的含义是 :

S -- 命令由超级用户执行。

F -- 命令由 fork 产生 , 但是没有 exec( 执行 ) 。

D -- 命令终止并创建一个 core 文件。

X -- 命令被 SIGTERM 信号终止。

root 是执行命令的用户名。

prts/1 终端名。

0.00 secs -- 进程退出时间。

你可以通过执行下面的命令来搜索进程记帐日志谁做了 rm 操用 :

# lastcomm rm rm root pts/1 0.00 secs Wed Dec 2 14:21 rm root pts/1 0.00 secs Wed Dec 2 14:19 rm root pts/1 0.00 secs Wed Dec 2 14:19

你可以通过终端名 pts/1 作为关键字来搜索进程记帐日志 :

# lastcomm pts/1

4). 统计记帐信息

你可以使用 sa 命令打印过去执行命令的统计信息。另外 , sa 命令保存了一个叫做 savacct 文件 , 文件包含了命令被调用的次数和资源使用的次数。而且 sa 还提供每一个用户的统计信息 , 这些信息保存在一个叫做 usracct 的文件当中。

# sa 207 0.41re 0.40cp 7408k mrtg 6 0.04re 0.04cp 7240k awstats.pl 15 0.01re 0.00cp 2108k ***other* 1242 53.91re 0.00cp 6081k sshd

以结果输出的第二行为例 :

6 0.04re 0.04cp 7240k awstats.p

分析 :

0.04re " 实际时间 " 单位为分钟。

0.04cp 系统和用户时间总数 (CPU 时间 , 单位为分钟 ) 。

7240K 核心使用所占的平均 CPU 时间 , 一个单元的大小为 1KB 。

awstats.pl 命令名。

显示每一个用户 :

# sa -u root 0.00 cpu 595k mem accton root 0.00 cpu 1339k mem logrotate.gf2tt

找出谁在占用 CPU

你可以通过查看 re, k, cp/cpu( 见上面输出解释 ) 时间来找出可疑的活动 , 或某个用户 / 命令占用了所有的 CPU 时间。如果 CPU/Memeory 使用数 ( 命令 ) 在不断增加 , 可以说明命令存在问题。

五:日志去向

Syslog 已被许多日志函数采纳，它用在许多保护措施中 -- 任何程序都可以通过 syslog 纪录事件。 Syslog 可以纪录系统事件，可以写到一个文件或设备中，或给用户发送一个信息。它能纪录本地事件或通过网络纪录另一个主机上的事件。

Syslog 设备依据两个重要的文件： /etc/syslogd （守护进程）和 /etc/syslog.conf 配置文件，习惯上，多数 syslog 信息被写到 /var/adm 或 /var/log 目录下的信息文件中（ messages.* ）。一个典型的 syslog 纪录包括生成程序的名字和一个文本信息。它还包括一个设备和一个优先级范围（但不在日之中出现）。

每个 syslog 消息被赋予下面的主要设备之一：

LOG_AUTH-- 认证系统： login 、 su 、 getty 等

LOG_AUTHPRIV-- 同 LOG_AUTH ，但只登录到所选择的单个用户可读的文件中

LOG_CRON--cron 守护进程

LOG_DAEMON-- 其他系统守护进程，如 routed

LOG_FTP-- 文件传输协议： ftpd 、 tftpd

LOG_KERN-- 内核产生的消息

LOG_LPR-- 系统打印机缓冲池： lpr 、 lpd

LOG_MAIL-- 电子邮件系统

LOG_NEWS-- 网络新闻系统

LOG_SYSLOG-- 由 syslogd （ 8 ）产生的内部消息

LOG_USER-- 随机用户进程产生的消息

LOG_UUCP--UUCP 子系统

LOG_LOCAL0~LOG_LOCAL7-- 为本地使用保留

Syslog 为每个事件赋予几个不同的优先级：

LOG_EMERG-- 紧急情况

LOG_ALERT-- 应该被立即改正的问题，如系统数据库破坏

LOG_CRIT-- 重要情况，如硬盘错误

LOG_ERR-- 错误

LOG_WARNING-- 警告信息

LOG_NOTICE-- 不是错误情况，但是可能需要处理

LOG_INFO-- 情报信息

LOG_DEBUG-- 包含情报的信息，通常旨在调试一个程序时使用

syslog.conf 文件指明 syslogd 程序纪录日志的行为，该程序在启动时查询配置文件。该文件由不同程序或消息分类的单个条目组成，每个占一行。对每类消息提供一个选择域和一个动作域。这些域由 tab 隔开：选择域指明消息的类型和优先级；动作域指明 syslogd 接收到一个与选择标准相匹配的消息时所执行的动作。每个选项是由设备和优先级组成。当指明一个优先级时， syslogd 将纪录一个拥有相同或更高优先级的消息。

所以如果指明 "crit" ，那所有标为 crit 、 alert 和 emerg 的消息将被纪录。每行的行动域指明当选择域选择了一个给定消息后应该把他发送到哪儿。

例如，如果想把所有邮件消息纪录到一个文件中，如下：

#Log all the mail messages in one place mail.* /var/log/maillog

其他设备也有自己的日志。 UUCP 和 news 设备能产生许多外部消息。它把这些消息存到自己的日志（ /var/log/spooler ）中并把级别限为 "err" 或更高。例如：

# Save mail and news errors of level err and higher in aspecial file. uucp,news.crit /var/log/spooler

当一个紧急消息到来时，可能想让所有的用户都得到。也可能想让自己的日志接收并保存。

#Everybody gets emergency messages ， plus log them on anther machine *.emerg * *.emerg @linuxaid.com.cn

alert 消息应该写到 root 和 tiger 的个人账号中：

#Root and Tiger get alert and higher messages *.alert root,tiger

有时 syslogd 将产生大量的消息。例如内核（ "kern" 设备）可能很冗长。用户可能想把内核消息纪录到 /dev/console 中。下面的例子表明内核日志纪录被注释掉了：

#Log all kernel messages to the console #Logging much else clutters up the screen #kern.* /dev/console

用户可以在一行中指明所有的设备。下面的例子把 info 或更高级别的消息送到 /var/log/messages ，除了 mail 以外。级别 "none" 禁止一个设备：

#Log anything （ except mail ） of level info or higher #Don log private authentication messages! *.info:mail.none;authpriv.none /var/log/messages

在有些情况下，可以把日志送到打印机，这样网络入侵者怎么修改日志都没有用了。通常要广泛纪录日志。 Syslog 设备是一个攻击者的显著目标。一个为其他主机维护日志的系统对于防范服务器攻击特别脆弱，因此要特别注意。

有个小命令 logger 为 syslog （ 3 ）系统日志文件提供一个 shell 命令接口，使用户能创建日志文件中的条目。用法： logger 例如： logger This is a test ！

它将产生一个如下的 syslog 纪录： Aug 19 22:22:34 tiger: This is a test!

注意不要完全相信日志，因为攻击者很容易修改它的 .