|
|
|
|
移动端

1.1.1 UNIX/Linux系统日志

《UNIX/Linux网络日志分析与流量监控》第1章网络日志获取与分析,本章将介绍如何获取并分析各类系统的日志。学习好本章内容,将为后续章节的案例分析打下良好的基础。本节为大家介绍UNIX/Linux系统日志。

作者:李晨光来源:机械工业出版社|2014-11-26 16:00

有奖调研 | 1TB硬盘等你拿 AI+区块链的发展趋势及应用调研


1.1.1 UNIX/Linux系统日志

UNIX/Linux的系统日志能细分为三个日志子系统:

(1)登录时间日志子系统:登录时间日志通常会与多个程序的执行产生关联,一般情况下,将对应的记录写到/var/log/wtm 和/var/run/utmp 中。为了使系统管理员能够有效地跟踪谁在何时登录过系统,一旦触发login 等程序,就会对wtmp 和utmp 文件进行相应的更新。本书中很多网络取证案例都会涉及这两个登录文件。

(2)进程统计日志子系统:主要由系统的内核来实现完成记录操作。如果一个进程终止,系统就能够自动记录该进程,并在进程统计的日志文件中添加相应的记录。该类日志能够记录系统中各个基本的服务,可以有效地记录与提供相应命令在某一系统中使用的详细统计情况。

(3)错误日志子系统:其主要由系统进程syslogd(新版Linux 发行版采用rsyslogd 服务)实现操作。它由各个应用系统(例如Http、Ftp、Samba 等)的守护进程、系统内核来自动利用syslog 向/var/log/messages 文件中进行记录添加,用来向用户报告不同级别的事件(第3章将详细讲解这部分内容)。

UNIX/Linux系统的主要日志文件格式表述如下:

(1)基于syslogd 的日志文件。该类型主要采用Syslog协议和POSIX 标准进行定义,其日志文件的内容通常以ASCII 文本形式存在,一般由以下几部分组成:日期、时间、主机名、IP 地址和优先级等。syslog 优先级可以分为0、1、2、3、4、5、6 和7 级共8 个级别,每个级别对应不同的核心程序所产生的日志。

(2)应用程序产生的日志文件。这种类型的日志文件通常是ASCII 码的文本文件格式。到目前为止,大多数UNIX/Linux 系统中,运行的程序会自动将对应的日志文件向syslogd 进行统一发送,并由syslogd 最终进行统一的处理。该类型的日志文件能够参考syslogd 进行处理。大部分应用层的日志默认会存储在/var/log/messages 目录下,如图1-1 所示。在这个目录下,我们会看到很多熟悉的名字,比如/var/log/httpd/access_log 是由Apache 服务产生的日志文件;再比如/var/log/samba 是由Samba 服务产生的日志文件;这种存储方式在日志量不大时,通过过滤等方法就可以找出感兴趣的关键字。但如果服务日志需要归档处理就不可行了。下面几节中将给出解决方法。

(3)操作记录日志文件:此类型的文件主要包括两类。

1)对各个终端的登录人员进行记录的日志信息lastlog。该信息采取二进制的方式进行存储(无法使用vi 等编辑器直接打开),记录内容主要有:用户名、终端号、登入IP、登入使用时间等。

2)系统中的邮件服务器在运行的时候需要进行记录的日志maillog,它的文件格式通常比较复杂,但内容主要是ASCII 文本,涉及进程名、邮件代号、日期、时间、操作过程的各种相关信息。

喜欢的朋友可以添加我们的微信账号:

51CTO读书频道二维码


51CTO读书频道活动讨论群:342347198

【责任编辑:book TEL:(010)68476606】

回书目   上一节   下一节
点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

网络管理员考试全真模拟试题与解析

本书是按照全国计算机技术与软件专业技术资格(水平)考试《网络管理员考试大纲》的要求,参照《网络管理员教程》及近年来考试试题编写的。...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊