RedHat系统常用的日志文件详解二

 

RedHat系统常用的日志文件详解二

命令last有两个可选参数：

8 a4 L2 |0 Y2 Y* {% f
　　last -u 用户名 显示用户上次登录的情况。

" J- }/ L7 @0 ]' Q; a* H" i
　　last -t 天数 显示指定天数之前的用户登录情况。 ' B9 w! R! G6 n% l

& \, J1 }" p" g0 ^( w3 b2 E- L: A
　　/var/run/utmp
, b7 \) S4 z/ N5 f  R7 A
9 C: w1 s. d  k4 f
　　该日志文件记录有关当前登录的每个用户的信息。因此这个文件会随着用户登录和注销系统而不断变化，它只保留当时联机的用户记录，不会为用户保留永久的记录。系统中需要查询当前用户状态的程序，如 who、w、users、finger等就需要访问这个文件。该日志文件并不能包括所有精确的信息，因为某些突发错误会终止用户登录会话，而系统没有及时更新 utmp记录，因此该日志文件的记录不是百分之百值得信赖的。

+ o3 }! @' \" }  H5 X) Y' f2 ~! S
　　以上提及的3个文件（/var/log/wtmp、/var/run/utmp、/var/log/lastlog）是日志子系统的关键文件，都记录了用户登录的情况。这些文件的所有记录都包含了时间戳。这些文件是按二进制保存的，故不能用less、cat之类的命令直接查看这些文件，而是需要使用相关命令通过这些文件而查看。其中，utmp和wtmp文件的数据结构是一样的，而lastlog文件则使用另外的数据结构，关于它们的具体的数据结构可以使用man命令查询。

每次有一个用户登录时，login程序在文件lastlog中查看用户的UID。如果存在，则把用户上次登录、注销时间和主机名写到标准输出中，然后 login程序在lastlog中记录新的登录时间，打开utmp文件并插入用户的utmp记录。该记录一直用到用户登录退出时删除。utmp文件被各种命令使用，包括who、w、users和finger。 * S5 G: m& T9 d' g4 t
* Z! T' Y6 X$ |' C7 ?+ R1 ~$ j

　　下一步，login程序打开文件wtmp附加用户的utmp记录。当用户登录退出时，具有更新时间戳的同一utmp记录附加到文件中。wtmp文件被程序last使用。
2 m+ @  D8 ?0 w$ A: Q

　　/var/log/xferlog ; u  U7 n; b  U( h( V& @
- W- w; Z7 a6 c: x- F: i: j

　　该日志文件记录FTP会话，可以显示出用户向FTP服务器或从服务器拷贝了什么文件。该文件会显示用户拷贝到服务器上的用来入侵服务器的恶意程序，以及该用户拷贝了哪些文件供他使用。 6 t1 I4 Q( r2 ]! G+ m% o# n
& U: v9 o' M$ _3 m+ t4 t# {) C
) R+ m2 o0 r6 F" Y+ B' s4 I
　　该文件的格式为：第一个域是日期和时间，第二个域是下载文件所花费的秒数、远程系统名称、文件大小、本地路径名、传输类型（a：ASCII，b：二进制）、与压缩相关的标志或tar，或"_"（如果没有压缩的话）、传输方向（相对于服务器而言：i代表进，o代表出）、访问模式（a：匿名，g：输入口令，r：真实用户）、用户名、服务名（通常是ftp）、认证方法（l：RFC931，或0），认证用户的ID或"*"。下面是该文件的一条记录：
  e" W( X; O  X+ x+ s

QUOTE:

7 x- H/ Z1 I- q7 E  }9 t5 V% [8 ]4 b, S
Wed Sep 4 08:14:03 2002 1 UNIX 275531 4 @+ U1 L) `. G8 u: t. a# M1 q

/var/ftp/lib/libnss_files-2.2.2.so b _ o a -root@UNIX ftp 0 * c $ Z) r, }/ s) J8 |

/var/log/kernlog , k2 k2 X4 b: f7 u3 P5 U: A* Q



& ^0 |. X9 m5 `3 i: W' A4 ]- K* C
　　　RedHat Linux默认没有记录该日志文件。要启用该日志文件，必须在/etc/syslog.conf文件中添加一行：kern.* /var/log/kernlog 。这样就启用了向/var/log/kernlog文件中记录所有内核消息的功能。该文件记录了系统启动时加载设备或使用设备的情况。一般是正常的操作，但如果记录了没有授权的用户进行的这些操作，就要注意，因为有可能这就是恶意用户的行为。下面是该文件的部分内容：


QUOTE: * U3 B' Q3 ~5 \

Sep 5 09:38:42 UNIX kernel: NET4: Linux TCP/IP 1.0 for NET4.0 * @2 Z/ n* P! \( F3 e. `
4 `% P5 S' g% a6 ?; ?
Sep 5 09:38:42 UNIX kernel: IP Protocols: ICMP, UDP, TCP, IGMP

Sep 5 09:38:42 UNIX kernel: IP: routing cache hash table of 512 buckets, 4Kbytes

Sep 5 09:38:43 UNIX kernel: TCP: Hash tables configured (established 4096 bind 4096)
; Y4 L: R# X) Q- V; V2 e
Sep 5 09:38:43 UNIX kernel: Linux IP multicast router 0.06 plus PIM-SM . o- J; B' ^2 |1 W5 `& P& j/ P

Sep 5 09:38:43 UNIX kernel: NET4: Unix domain sockets 1.0/SMP for Linux NET4.0.
- o& a+ v) f( ]. l+ o/ w
Sep 5 09:38:44 UNIX kernel: EXT2-fs warning: checktime reached, running e2fsck is recommended 0 ?. S1 q7 G2 \

Sep 5 09:38:44 UNIX kernel: VFS: Mounted root (ext2 filesystem). # z- G$ a7 O7 ]$ [
4 k2 b" R' `$ _7 z: v% |0 j
Sep 5 09:38:44 UNIX kernel: SCSI subsystem driver Revision: 1.00 $ i  j) [  d  @0 x5 K, q+ Q/ z' d
2 u  V' F5 v9 \0 v& p
/var/log/Xfree86.x.log

该日志文件记录了X-Window启动的情况。另外，除了/var/log/外，恶意用户也可能在别的地方留下痕迹，应该注意以下几个地方：root 和其他账户的shell历史文件；用户的各种邮箱，如.sent、mbox，以及存放在/var/spool/mail/ 和 /var/spool/mqueue中的邮箱；临时文件/tmp、/usr/tmp、/var/tmp；隐藏的目录；其他恶意用户创建的文件，通常是以 "."开头的具有隐藏属性的文件等。


　　具体命令 & N3 h1 u4 A( P$ r2 a1 @  K
2 b& w0 h$ _/ K1 S+ }
! \# V! D: |0 [% |  q& f" A
　　wtmp和utmp文件都是二进制文件，它们不能被诸如tail之类的命令剪贴或合并（使用cat命令）。用户需要使用who、w、users、last和ac等命令来使用这两个文件包含的信息。 : k$ \3 f/ Q8 k3 o- ~7 v: N* U

4 x: k7 ]) p/ }/ W
　　who命令 # r  {. {/ l& _- D. K5 l. e# t, \


　　who命令查询utmp文件并报告当前登录的每个用户。who的默认输出包括用户名、终端类型、登录日期及远程主机。例如，键入who命令，然后按回车键，将显示如下内容：


QUOTE:
3 G9 i$ p3 w7 ?3 c
chyang pts/0 Aug 18 15:06
+ D, V  O; g3 U& t5 Q
ynguo pts/2 Aug 18 15:32
! p0 Z" D2 {7 H
ynguo pts/3 Aug 18 13:55

lewis pts/4 Aug 18 13:35 0 a- G) r$ m2 A% l. l, @2 Y

ynguo pts/7 Aug 18 14:12 & v2 q% c3 Y5 a: ^$ L; ~

ylou pts/8 Aug 18 14:15

* D& z( m& V! a) {6 O  O
　　如果指明了wtmp文件名，则who命令查询所有以前的记录。命令who /var/log/wtmp将报告自从wtmp文件创建或删改以来的每一次登录。
5 r3 x0 n; Y" S  O6 K4 ^1 Z$ k
( {  X8 F; w2 V
　　w命令


　　w命令查询utmp文件并显示当前系统中每个用户和它所运行的进程信息。例如，键入w命令，然后按回车键，将显示如下内容： ( c0 L% }! Z1 z# ]2 c

5 ?6 U0 |! d* V& w7 d
QUOTE: ; Z: {) ]# i. j8 _3 A9 T, }


3:36pm up 1 day, 22:34, 6 users, load average: 0.23, 0.29, 0.27 5 f& V! n% l- E3 @4 x1 \0 v7 z

USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT 7 f9 F" B& ]4 ^1 i0 z: e
8 T6 p& Q9 j" l! e, F: }6 f
chyang pts/0 202.38.68.242 3:06pm 2:04 0.08s 0.04s -bash / q4 l* q4 W" @

ynguo pts/2 202.38.79.47 3:32pm 0.00s 0.14s 0.05 w % `3 j  b  G7 E1 q
" t+ H' Y$ z, K1 Q% ]+ P: ?0 d
lewis pts/3 202.38.64.233 1:55pm 30:39 0.27s 0.22s -bash
* ]/ Y7 i' l- d7 |
lewis pts/4 202.38.64.233 1:35pm 6.00s 4.03s 0.01s sh /home/users/ . Q* h* e) c- H- o- \" U7 }% j! e& y
) u# f9 k0 K; d1 U: j
ynguo pts/7 simba.nic.ustc.e 2:12pm 0.00s 0.47s 0.24s telnet mail

ylou pts/8 202.38.64.235 2:15pm 1:09m 0.10s 0.04s -bash " q9 j3 _1 n) H; }& h

　　users命令
3 @0 s" }$ f% z- e  w
- v5 ~! U) q) Y$ \2 j) f
　　users命令用单独的一行打印出当前登录的用户，每个显示的用户名对应一个登录会话。如果一个用户有不止一个登录会话，那他的用户名将显示相同的次数。例如，键入users命令，然后按回车键，将显示如下内容： ' C' V6 K5 y" q# @8 A
  v7 g* A1 _, A. A! S9 V% ]
, T, V8 e- F! ^2 `9 W" V
QUOTE: 5 t3 Q* R. a( }! T: \9 s* R1 s
4 _( x; p/ P  w' q$ K$ g+ P& _
　　chyang lewis lewis ylou ynguo ynguo