科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网软件频道针对Linux操作系统的日志深入分析 (2)

针对Linux操作系统的日志深入分析 (2)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

日志对于安全来说,非常重要,他记录了系统每天发生的各种各样的事情,你可以通过他来检查错误发生的原因,或者受到攻击时攻击者留下的痕迹。日志主要的功能有:审计和监测。他还可以实时的监测系统状态,监测和追踪侵入者等等。

作者:ChinaITLab 来源:ChinaITLab 2007年10月18日

关键字: 分析 日志 操作系统 Linux

  • 评论
  • 分享微博
  • 分享邮件
 

每次有一个用户登录时,login程序在文件lastlog中察看用户的UID。如果找到了,则把用户上次登录、退出时间和主机名写到标准输出中,然后login程序在lastlog中纪录新的登录时间。在新的lastlog纪录写入后,utmp文件打开并插入用户的utmp纪录。该纪录一直用到用户登录退出时删除。utmp文件被各种命令文件使用,包括who、w、users和finger。

下一步,login程序打开文件wtmp附加用户的utmp纪录。当用户登录退出时,具有更新时间戳的同一utmp纪录附加到文件中。wtmp文件被程序last和ac使用。

2. 具体命令

wtmp和utmp文件都是二进制文件,他们不能被诸如tail命令剪贴或合并(使用cat命令)。用户需要使用who、w、users、last和ac来使用这两个文件包含的信息。

who:who命令查询utmp文件并报告当前登录的每个用户。Who的缺省输出包括用户名、终端类型、登录日期及远程主机。例如:who(回车)显示

  
  chyang pts/0 Aug 18 15:06 
  ynguo pts/2 Aug 18 15:32 
  ynguo pts/3 Aug 18 13:55 
  lewis pts/4 Aug 18 13:35 
  ynguo pts/7 Aug 18 14:12 
  ylou pts/8 Aug 18 14:15
  

如果指明了wtmp文件名,则who命令查询所有以前的纪录。命令who /var/log/wtmp将报告自从wtmp文件创建或删改以来的每一次登录。

w:w命令查询utmp文件并显示当前系统中每个用户和它所运行的进程信息。例如:w(回车)显示:3:36pm up 1 day, 22:34, 6 users, load average: 0.23, 0.29, 0.27

  
  USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT 
  chyang pts/0 202.38.68.242 3:06pm 2:04 0.08s 0.04s -bash 
  ynguo pts/2 202.38.79.47 3:32pm 0.00s 0.14s 0.05s w 
  lewis pts/3 202.38.64.233 1:55pm 30:39 0.27s 0.22s -bash 
  lewis pts/4 202.38.64.233 1:35pm 6.00s 4.03s 0.01s sh /home/users/ 
  ynguo pts/7 simba.nic.ustc.e 2:12pm 0.00s 0.47s 0.24s telnet mail 
  ylou pts/8 202.38.64.235 2:15pm 1:09m 0.10s 0.04s -bash
    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章