【51CTO特稿】 1、Linux下重要日志文件介紹

/var/log/boot.log

該文件記錄了系統(tǒng)在引導過程中發(fā)生的事件，就是Linux系統(tǒng)開機自檢過程顯示的信息，如圖1所示：

圖1 /var/log/boot.log示意

/var/log/cron

該日志文件記錄crontab守護進程crond所派生的子進程的動作，前面加上用戶、登錄時間和PID，以及派生出的進程的動作。CMD的一個動作是cron派生出一個調(diào)度進程的常見情況。REPLACE(替換)動作記錄用戶對它的cron文件的更新，該文件列出了要周期性執(zhí)行的任務調(diào)度。RELOAD動作在REPLACE動作后不久發(fā)生，這意味著cron注意到一個用戶的cron文件被更新而cron需要把它重新裝入內(nèi)存。該文件可能會查到一些反常的情況。該文件的示意請見圖2：

圖2 /var/log/cron文件示意

/var/log/maillog

該日志文件記錄了每一個發(fā)送到系統(tǒng)或從系統(tǒng)發(fā)出的電子郵件的活動。它可以用來查看用戶使用哪個系統(tǒng)發(fā)送工具或把數(shù)據(jù)發(fā)送到哪個系統(tǒng)。圖3所示是該日志文件的片段：

圖3 /var/log/maillog文件示意

該文件的格式是每一行包含日期、主機名、程序名，后面是包含PID或內(nèi)核標識的方括號、一個冒號和一個空格，最后是消息。該文件有一個不足，就是被記錄的入侵企圖和成功的入侵事件，被淹沒在大量的正常進程的記錄中。但該文件可以由/etc/syslog文件進行定制。由/etc/syslog.conf配置文件決定系統(tǒng)如何寫入/var/messages。

/var/log/syslog

默認Fedora不生成該日志文件，但可以配置/etc/syslog.conf讓系統(tǒng)生成該日志文件。它和/etc/log/messages日志文件不同，它只記錄警告信息，常常是系統(tǒng)出問題的信息，所以更應該關注該文件。要讓系統(tǒng)生成該日志文件，在/etc/syslog.conf文件中加上：*.warning /var/log/syslog 該日志文件能記錄當用戶登錄時login記錄下的錯誤口令、Sendmail的問題、su命令執(zhí)行失敗等信息。該日志文件記錄最近成功登錄的事件和最后一次不成功的登錄事件，由login生成。在每次用戶登錄時被查詢，該文件是二進制文件，需要使用lastlog命令查看，根據(jù)UID排序顯示登錄名、端口號和上次登錄時間。如果某用戶從來沒有登錄過，就顯示為"**Never logged in**"。該命令只能以root權限執(zhí)行。簡單地輸入lastlog命令后就會看到類似圖4的信息：

圖4 lastlog命令的運行結果

/var/log/wtmp

該日志文件永久記錄每個用戶登錄、注銷及系統(tǒng)的啟動、停機的事件。因此隨著系統(tǒng)正常運行時間的增加，該文件的大小也會越來越大，增加的速度取決于系統(tǒng)用戶登錄的次數(shù)。該日志文件可以用來查看用戶的登錄記錄，last命令就通過訪問這個文件獲得這些信息，并以反序從后向前顯示用戶的登錄記錄，last也能根據(jù)用戶、終端tty或時間顯示相應的記錄。

/var/run/utmp

該日志文件記錄有關當前登錄的每個用戶的信息。因此這個文件會隨著用戶登錄和注銷系統(tǒng)而不斷變化，它只保留當時聯(lián)機的用戶記錄，不會為用戶保留永久的記錄。系統(tǒng)中需要查詢當前用戶狀態(tài)的程序，如 who、w、users、finger等就需要訪問這個文件。該日志文件并不能包括所有精確的信息，因為某些突發(fā)錯誤會終止用戶登錄會話，而系統(tǒng)沒有及時更新 utmp記錄，因此該日志文件的記錄不是百分之百值得信賴的。

以上提及的3個文件(/var/log/wtmp、/var/run/utmp、/var/log/lastlog)是日志子系統(tǒng)的關鍵文件，都記錄了用戶登錄的情況。這些文件的所有記錄都包含了時間戳。這些文件是按二進制保存的，故不能用less、cat之類的命令直接查看這些文件，而是需要使用相關命令通過這些文件而查看。其中，utmp和wtmp文件的數(shù)據(jù)結構是一樣的，而lastlog文件則使用另外的數(shù)據(jù)結構，關于它們的具體的數(shù)據(jù)結構可以使用man命令查詢。

每次有一個用戶登錄時，login程序在文件lastlog中查看用戶的UID。如果存在，則把用戶上次登錄、注銷時間和主機名寫到標準輸出中，然后login程序在lastlog中記錄新的登錄時間，打開utmp文件并插入用戶的utmp記錄。該記錄一直用到用戶登錄退出時刪除。utmp文件被各種命令使用，包括who、w、users和finger。

下一步，login程序打開文件wtmp附加用戶的utmp記錄。當用戶登錄退出時，具有更新時間戳的同一utmp記錄附加到文件中。wtmp文件被程序last使用。

/var/log/xferlog

該日志文件記錄FTP會話，可以顯示出用戶向FTP服務器或從服務器拷貝了什么文件。該文件會顯示用戶拷貝到服務器上的用來入侵服務器的惡意程序，以及該用戶拷貝了哪些文件供他使用。

該文件的格式為：第一個域是日期和時間，第二個域是下載文件所花費的秒數(shù)、遠程系統(tǒng)名稱、文件大小、本地路徑名、傳輸類型(a：ASCII，b：二進制)、與壓縮相關的標志或tar，或"_"(如果沒有壓縮的話)、傳輸方向(相對于服務器而言：i代表進，o代表出)、訪問模式(a：匿名，g：輸入口令，r：真實用戶)、用戶名、服務名(通常是ftp)、認證方法(l：RFC931，或0)，認證用戶的ID或"*"。圖5是該文件的部分顯示：

圖5 /var/log/xferlog文件示意

#p#

2、Linux日志輸出查看方式

Linux下面提供了許多文本工具來查看和處理日志文件，下面給讀者提供一些比較常見和有用的工具。

dmesg

使用dmesg命令可以快速查看最后一次系統(tǒng)引導的引導日志。如圖6所示：

圖6 dmesg顯示結果

如上所示，通常它的內(nèi)容會很多，所以我們往往使用如下命令以分頁的方式顯示引導信息，如圖7所示：

# dmesg | more

圖7 dmesg|more命令顯示結果

tail

tail命令設計用于顯示文本文件的最后幾行。使用-f開關，當日志增加新的內(nèi)容時，tail將繼續(xù)顯示新的輸出。如圖8所示：

# tar -f /var/log/messages

圖8 使用tail查看日志

上面的命令將顯示/var/log/messages文件的最后6行，然后繼續(xù)監(jiān)控那個文件，并輸出新的行為。要停止tail -f命令，使用[Ctrl + C]來中止進程。

more和less

more的工作方式與DOS版本相同。您可以將它指向一個文件，或者通過它以管道輸出信息，以分頁的方式來查看信息。例如，以分頁方式顯示maillog日志文件的內(nèi)容：

# more maillog

圖9 使用more查看日志

然后，可以使用q或者[Ctrl+C]來停止查看文件。

less 是另一個文本閱讀器，不過它還允許在文件中滾動瀏覽以及檢索信息。如下所示：

# less /var/log/cron-20090830

圖9 使用less命令查看日志

上面的命令將顯示/var/log/yum.log文件的內(nèi)容，可以使用q來停止查看文件。

其他方式

Linux中的日志文件對于系統(tǒng)的故障診斷和維護來說至關重要。許多諸如WWW、FTP、SMTP等網(wǎng)絡應用服務的Linux日志記錄都是記錄到專門指定的文本文件中(比如access.log，error.log等等)，所以不需要專門的工具來查看這些文件。用戶可以選擇Vi、gEdit等簡單的文本編輯工具查看使用。#p#

3、Linux日志使用的重要原則

系統(tǒng)管理人員要應該提高警惕，隨時注意各種可疑狀況，并且按時和隨機地檢查各種系統(tǒng)日志文件，包括一般信息日志、網(wǎng)絡連接日志、文件傳輸日志以及用戶登錄日志等。在檢查這些日志時，要注意是否有不合常理的時間記載。例如：

•  用戶在非常規(guī)的時間登錄;
•  不正常的日志記錄，比如日志的殘缺不全或者是諸如wtmp這樣的日志文件無故地缺少了中間的記錄文件;
•  用戶登錄系統(tǒng)的IP地址和以往的不一樣;
•  用戶登錄失敗的日志記錄，尤其是那些一再連續(xù)嘗試進入失敗的日志記錄;
•  非法使用或不正當使用超級用戶權限su的指令;
•  無故或者非法重新啟動各項網(wǎng)絡服務的記錄。

尤其提醒管理人員注意的是：日志并不是完全可靠的。高明的黑客在入侵系統(tǒng)后，經(jīng)常會打掃現(xiàn)場。所以需要綜合運用以上的系統(tǒng)命令，全面、綜合的進行審查和檢測，切忌斷章取義，否則很難發(fā)現(xiàn)入侵或者做出錯誤的判斷。

另外，在有些情況下，可以把日志送到打印機，這樣網(wǎng)絡入侵者怎么修改日志都沒有用。并且，通常要廣泛記錄日志。另外，syslog設備是一個攻擊者的顯著目標。一個為其他主機維護日志的系統(tǒng)對于防范服務器攻擊特別脆弱，因此要特別注意。

【編輯推薦】

1. Linux系統(tǒng)中的日志管理
2. 完善Linux/UNIX審計 將每個shell命令記入日志
3. CairoPlot讓Linux服務器的日志文件更直觀