162 0.11re 0.03cp 0avio 413k security.sh*
154 0.03re 0.02cp 0avio 273k ls
56 31.61re 0.02cp 0avio 823k ping6.pl*
2 3.23re 0.02cp 0avio 822k ping6.pl
35 0.02re 0.01cp 0avio 257k md5sum
97 0.02re 0.01cp 0avio 263k initlog
12 0.19re 0.01cp 0avio 399k promisc_check.s
15 0.09re 0.00cp 0avio 288k grep
11 0.08re 0.00cp 0avio 332k awk
用戶還可以根據(jù)用戶而不是命令來提供一個(gè)摘要報(bào)告���。例如sa -m顯示如下:
885 173.28re4.31cp 0avk
root879 173.23re4.31cp 0avk
alias 3 0.05re 0.00cp 0avk
qmailp 3 0.01re 0.00cp 0avk
Syslog設(shè)備
Syslog已被許多日志函數(shù)采納�����,它用在許多保護(hù)措施中--任何程序都可以通過syslog 紀(jì)錄事件���。Syslog可以紀(jì)錄系統(tǒng)事件,可以寫到一個(gè)文件或設(shè)備中��,或給用戶發(fā)送一個(gè)信息�����。它能紀(jì)錄本地事件或通過網(wǎng)絡(luò)紀(jì)錄另一個(gè)主機(jī)上的事件。
Syslog設(shè)備依據(jù)兩個(gè)重要的文件:/etc/syslogd(守護(hù)進(jìn)程)和/etc/syslog.conf配置文件���,習(xí)慣上,多數(shù)syslog信息被寫到/var/adm或/var/log目錄下的信息文件中(messages.*)�。一個(gè)典型的syslog紀(jì)錄包括生成程序的名字和一個(gè)文本信息。它還包括一個(gè)設(shè)備和一個(gè)優(yōu)先級(jí)范圍(但不在日之中出現(xiàn))��。
每個(gè)syslog消息被賦予下面的主要設(shè)備之一:
LOG_AUTH--認(rèn)證系統(tǒng):login���、su���、getty等
LOG_AUTHPRIV--同LOG_AUTH,但只登錄到所選擇的單個(gè)用戶可讀的文件中
LOG_CRON--cron守護(hù)進(jìn)程
LOG_DAEMON--其他系統(tǒng)守護(hù)進(jìn)程�,如routed
LOG_FTP--文件傳輸協(xié)議:ftpd、tftpd
LOG_KERN--內(nèi)核產(chǎn)生的消息
LOG_LPR--系統(tǒng)打印機(jī)緩沖池:lpr�����、lpd
LOG_MAIL--電子郵件系統(tǒng)
LOG_NEWS--網(wǎng)絡(luò)新聞系統(tǒng)
LOG_SYSLOG--由syslogd(8)產(chǎn)生的內(nèi)部消息
LOG_USER--隨機(jī)用戶進(jìn)程產(chǎn)生的消息
LOG_UUCP--UUCP子系統(tǒng)
LOG_LOCAL0~LOG_LOCAL7--為本地使用保留
Syslog為每個(gè)事件賦予幾個(gè)不同的優(yōu)先級(jí):
LOG_EMERG--緊急情況
LOG_ALERT--應(yīng)該被立即改正的問題���,如系統(tǒng)數(shù)據(jù)庫破壞
LOG_CRIT--重要情況�����,如硬盤錯(cuò)誤
LOG_ERR--錯(cuò)誤
LOG_WARNING--警告信息
LOG_NOTICE--不是錯(cuò)誤情況�����,但是可能需要處理
LOG_INFO--情報(bào)信息
LOG_DEBUG--包含情報(bào)的信息�,通常旨在調(diào)試一個(gè)程序時(shí)使用
syslog.conf文件指明syslogd程序紀(jì)錄日志的行為,該程序在啟動(dòng)時(shí)查詢配置文件��。該文件由不同程序或消息分類的單個(gè)條目組成�,每個(gè)占一行。對(duì)每類消息提供一個(gè)選擇域和一個(gè)動(dòng)作域��。這些域由tab隔開:選擇域指明消息的類型和優(yōu)先級(jí)���;動(dòng)作域指明syslogd接收到一個(gè)與選擇標(biāo)準(zhǔn)相匹配的消息時(shí)所執(zhí)行的動(dòng)作�����。每個(gè)選項(xiàng)是由設(shè)備和優(yōu)先級(jí)組成�����。當(dāng)指明一個(gè)優(yōu)先級(jí)時(shí)��,syslogd將紀(jì)錄一個(gè)擁有相同或更高優(yōu)先級(jí)的消息��。所以如果指明\"crit\"����,那所有標(biāo)為crit、alert和emerg的消息將被紀(jì)錄����。每行的行動(dòng)域指明當(dāng)選擇域選擇了一個(gè)給定消息后應(yīng)該把他發(fā)送到哪兒����。例如,如果想把所有郵件消息紀(jì)錄到一個(gè)文件中����,如下:
#Log all the mail messages in one place
mail.* /var/log/maillog
其他設(shè)備也有自己的日志。UUCP和news設(shè)備能產(chǎn)生許多外部消息���。它把這些消息存到自己的日志(/var/log/spooler)中并把級(jí)別限為\"err\"或更高�。例如:
# Save mail and news errors of level err and higher in aspecial file.
uucp,news.crit /var/log/spooler
當(dāng)一個(gè)緊急消息到來時(shí)�,可能想讓所有的用戶都得到。也可能想讓自己的日志接收并保存�。
#Everybody gets emergency messages�����, plus log them on anther machine
*.emerg *
*.emerg @linuxaid.com.cn
alert消息應(yīng)該寫到root和tiger的個(gè)人賬號(hào)中:
#Root and Tiger get alert and higher messages
*.alert root,tiger
有時(shí)syslogd將產(chǎn)生大量的消息��。例如內(nèi)核(\"kern\"設(shè)備)可能很冗長�����。用戶可能想把內(nèi)核消息紀(jì)錄到/dev/console中�。下面的例子表明內(nèi)核日志紀(jì)錄被注釋掉了:
#Log all kernel messages to the console
#Logging much else clutters up the screen
#kern.* /dev/console
用戶可以在一行中指明所有的設(shè)備�����。下面的例子把info或更高級(jí)別的消息送到/var/log/messages�����,除了mail以外��。級(jí)別\"none\"禁止一個(gè)設(shè)備:
#Log anything(except mail)of level info or higher
#Don\'t log private authentication messages!
*.info:mail.none;autHPriv.none /var/log/messages
在有些情況下�,可以把日志送到打印機(jī),這樣網(wǎng)絡(luò)入侵者怎么修改日志都沒有用了���。通常要廣泛紀(jì)錄日志�。Syslog設(shè)備是一個(gè)攻擊者的顯著目標(biāo)。一個(gè)為其他主機(jī)維護(hù)日志的系統(tǒng)對(duì)于防范服務(wù)器攻擊特別脆弱��,因此要特別注意��。
有個(gè)小命令logger為syslog(3)系統(tǒng)日志文件提供一個(gè)shell命令接口����,使用戶能創(chuàng)建日志文件中的條目。用法:logger 例如:logger This is a test�!
它將產(chǎn)生一個(gè)如下的syslog紀(jì)錄:Aug 19 22:22:34 tiger: This is a test!
注意不要完全相信日志,因?yàn)楣粽吆苋菀仔薷乃摹?
程序日志
許多程序通過維護(hù)日志來反映系統(tǒng)的安全狀態(tài)����。su命令允許用戶獲得另一個(gè)用戶的權(quán)限��,所以它的安全很重要�,它的文件為sulog。同樣的還有sudolog��。另外���,想Apache有兩個(gè)日志:access_log和error_log����。
其他日志工具
chklastlog
ftp://coast.cs.purdue.edu/pub/tools/unix/chklastlog/
chkwtmp
ftp://coast.cs.purdue.edu/pub/tools/unix/chkwtmp/
dump_lastlog
ftp://coast.cs.purdue.edu/pub/tools/unix/dump_lastlog.Z
spar
ftp://coast.cs.purdue.edu/pub/tools/unix/TAMU/
Swatch
http://www.lomar.org/komar/alek/pres/swatch/cover.html
Zap
ftp://caost.cs.purdue.edu/pub/tools/unix/zap.tar.gz
完
QQ:1613285598 億恩-明宇
本文出自:億恩科技【1tcdy.com】
服務(wù)器租用/服務(wù)器托管中國五強(qiáng)�!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商!15年品質(zhì)保障��!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
