日志文件是專門用于記錄系統(tǒng)操作事件的記錄文件或文件集合，操作系統(tǒng)有操作系統(tǒng)日志文件，數(shù)據(jù)庫系統(tǒng)有數(shù)據(jù)庫系統(tǒng)日志文件，等等。今天介紹下LOG日志文件。

      網(wǎng)管主要靠系統(tǒng)的LOG，即我們時常所說的日志文件， 來獲得侵入的痕跡及你進來的IP，或其他信息。當然也有些網(wǎng)管使用第三方工具來記錄侵入他電腦的痕跡，這里主要要講的是一般Linux系統(tǒng)里記錄你蹤跡的文件。

　　那到底這些LOG日志文件放在哪里呢？這主要依靠的是你所進入的UNIX系統(tǒng)系統(tǒng)， 各個系統(tǒng)有些不同的LOG文件，但大多數(shù)都應該有差不多的位置，最普通的位置如下：

　　/usr/adm - 早期版本的UNIX

　　/var/adm - 新一點的版本使用這個位置

　　/var/log - 一些版本的Solaris,linux BSD,Free BSD使用這個位置

　　/etc - 多數(shù)UNIX版本把utmp放在這里，有些也把wtmp放在這里，syslog.conf在這里

　　下面的一些文件根據(jù)你所在的目錄不同而不同：

　　acct 或 pacct -- 記錄每個用戶使用的命令記錄

　　access_log -- 主要當服務(wù)器運行NCSA HTTPD時, 記錄什么站點連接過你的服務(wù)器

　　aculog -- 保存著你撥出去的MODEMS記錄

　　lastlog -- 記錄了用戶最近的LOGIN記錄和每個用戶的最初目的地，有時是最后不成功LOGIN的記錄

　　loginlog -- 記錄一些不正常的LOGIN記錄

　　messages -- 記錄輸出到系統(tǒng)控制臺的記錄，另外的信息由syslog來生成

　　security -- 記錄一些使用UUCP系統(tǒng)企圖進入限制范圍的事例

　　sulog -- 記錄使用su命令的記錄

　　utmp -- 記錄當前登錄到系統(tǒng)中的所有用戶， 這個文件伴隨著用戶進入和離開系統(tǒng)而不斷變化.

　　utmpx -- UTMP的擴展

　　wtmp -- 記錄用戶登錄和退出事件

　　syslog -- 最重要的日志文件，使用syslogd守護程序來獲得日志信息：

　　/dev/log -- 一個UNIX域套接字，接受在本地機器上運行的進程所產(chǎn)生的消息

　　/dev/klog -- 一個從UNIX內(nèi)核接受消息的設(shè)備

　　514端口 -- 一個INTERNET套接字，接受其他機器通過UDP產(chǎn)生的syslog消息。

　　uucp -- 記錄的UUCP的信息，可以被本地UUCP活動更新， 也可有遠程站點發(fā)起的動作修改，信息包括發(fā)出和接受的呼叫，發(fā)出的請求，發(fā)送者， 發(fā)送時間和發(fā)送主機

　　lpd-errs -- 處理打印機故障信息的日志

　　ftp日志 -- 執(zhí)行帶-l選項的ftpd能夠獲得記錄功能

　　httpd日志 -- HTTPD服務(wù)器在日志中記錄每一個WEB訪問記錄

　　history日志 -- 這個文件保存了用戶最近輸入命令的記錄

　　vold.log -- 記錄使用外接媒介時遇到的錯誤記錄

　　======================

　　其他類型的日志文件-

　　======================

　　有些類型的LOG文件沒有特定的標題，但開始于一個特定的標志， 你可以在前面頭發(fā)現(xiàn)如下的標志，這就一般表示此是個LOG日志文件，你就可以編輯它了：

　　xfer -- 表明試圖一個禁止的文件傳輸.

　　rexe -- 表明試圖執(zhí)行一個不允許的命令

　　還有許多其他其他類型的LOG文件存在，主要是第三方軟件引起的，或者甚至他媽的網(wǎng)管自己有設(shè)置了一只"眼睛"在他的系統(tǒng)上，所以你要對你認為可能是LOG文件的文件多一份心眼。

　　許多管理員喜歡把日志文件放在同一個目錄中以便管理，所以你要檢查你發(fā)現(xiàn)的LOG文件所在的目錄中，是否有其他日志文件放在這里，如果有，咯，你知道怎么做。

　　另一個你要注意的是有關(guān)LOG用戶MAIL的文件，此文件名可以多種多樣，或則有時是syslog文件的一部分。你要知道syslog記錄那些信息， 你可以查看syslog.conf中的信息此文件的目錄是在/etc中

　　======================

　　Windows NT的審計跟蹤

　　======================

　　幾乎WINDOWS NT系統(tǒng)中的每一項事務(wù)都可以在一定程度上被審計，在WINDOWS NT中可以在兩個地方打開審計-EXPLORER 和USER MANAGER，在EXPLORER中，選擇Securtiy，再選擇Auditing以幾乎Directory Auditing對話框，系統(tǒng)管理員可以在這個窗口選擇跟蹤有效的和無效的文件訪問，在USER MANAGER中，系統(tǒng)管理員可以根據(jù)各種用戶事件的成功和失敗選擇審計策略，如登錄和退出，文件訪問，權(quán)限非法和關(guān)閉系統(tǒng)等。

　　WINDOWS NT是使用一種特殊的格式存放它的日志文件，這種格式的文件可以被事件查看器EVENT VIEWER讀取。事件查看器可以在ADMINISTRATIVE TOOL程序組中找到。 系統(tǒng)管理員可以使用事件查看器的Filter選項根據(jù)一定條件選擇要查看的日志條目，查看條件包括類別，用戶和消息類型。

　　WINDOWS NT 在三個分開的日志文件存放審計信息：

　　Application Log - 文件包括用NT SECURITY AUTHORITY注冊的應用程序產(chǎn)生的信息。

　　Security Log - 包括有關(guān)通過NT可識別安全提供者和客戶的系統(tǒng)訪問信息。

　　System Log - 包含所有系統(tǒng)相關(guān)事件的信息。

　　WINDOWS NT FTP連接的日志：

　　WINDOWS NT可以記錄入境的FTP連接，在注冊表中進行了修改后， 你可以是否記錄由匿名的，正常用戶或者兩種用戶建立的連接，可以在事件查看器中查看這些日志條目。

　　WINDOWS NT的HTTPD事務(wù)

　　系統(tǒng)管理員可以使用NT的HTTPD服務(wù)在日志中記錄對特定文件的訪問企圖。 可以在控制面板的HTTPD配置工具中選擇一個激活日志功能特性。

通過上文我們知道了Linux系統(tǒng)的LOG日志文件，希望對大家有所幫助。

【編輯推薦】

• Linux設(shè)備配置之顯卡配置
• 提高 Linux上socket 性能的技巧 最小化報文傳輸延時
• 嵌入式Linux之獨立核 雙核 修改核 資源核
• Linux服務(wù)器集群系統(tǒng)之通過IP隧道實現(xiàn)虛擬服務(wù)器（VS/TUN）
• 詳解MySQL中SlowLog的實際配置
• Linux下logrotate 配置
• 2.11.6　Crash Logs選項卡