|
|
|
|
移动端

2.2.8 查看详细信息

《UNIX/Linux网络日志分析与流量监控》第2章UNIX/Linux 系统取证,本章介绍了大量UNIX 平台下计算机取证的方法,用实例展示了硬盘数据收集和恢复技巧,并用两个案例展示了如何灵活运用各种工具来处理网络故障。本节为大家介绍查看详细信息。

作者:李晨光来源:机械工业出版社|2014-11-26 20:10

开发者盛宴来袭!7月28日51CTO首届开发者大赛决赛带来技术创新分享

2.2.8 查看详细信息

(1)查看系统日志

系统日志可能是最有价值的,最能反映系统活动的信息源。但只有在系统日志记录处于激活状态,而且记录足够详细的时候,它才是有价值的。在检查系统时,先查阅一下/etc/syslog.conf,看看日志信息被送到什么地方了。然后对日志主机实施仔细调查。

(2)收集Web 等日志与进程统计

要检查一个Web 服务器,可通过收集httpd 日志实现,采用grep 来检查日志,有助于了解系统攻击的更多信息。进程统计提供了一份有用的系统活动记录。统计程序维护了一份详细的所有被调用的进程记录,它追踪时间、二进制文件名和调用该进程的用户。在 Linux中,默认的统计日志目录是/var/log/pacct,用lastcomm 命令可阅读这些文件。
应用实例如下。

(1)创建pacct 文件

  1. #touch /var/log/pacct 

(2)用accton 激活

  1. #accton /var/log/pacct 

当accton 激活之后,就能用lastcomm 命令监测系统进程。

(3)收集文件和文件系统的内容

在文件系统中,还可以收集被改动的二进制文件。一种快速的方法是在/bin、/sbin 和/usr/bin 中收集事件发生前后被修改的文件,再通过find 命令查看所有在最后两天之内改变的文件。

喜欢的朋友可以添加我们的微信账号:

51CTO读书频道二维码


51CTO读书频道活动讨论群:342347198


【责任编辑:book TEL:(010)68476606】

回书目   上一节   下一节
点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

非常网管——网络应用

在网络应用越来越复杂的今天,传统的网络应用已经不能满足企业和用户的需要,这就对网络管理员、信息管理部门提出了更高的要求。本书介绍了...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊