RedHat系统常见的日志文件详解一

namedhao

RedHat系统常见的日志文件详解一
/var/log/boot.log

　　该文件记录了系统在引导过程中发生的事件，就是Linux系统开机自检过程显示的信息。 % @7 h7 s, Y5 z! V' h- C$ \4 K; K


/var/log/cron 4 X  b  P. S7 _+ {/ s8 B! E( M
' {3 i4 V- r! i3 W! Y% K, h
　　该日志文件记录crontab守护进程crond所派生的子进程的动作，前面加上用户、登录时间和PID，以及派生出的进程的动作。CMD的一个动作是cron派生出一个调度进程的常见情况。REPLACE（替换）动作记录用户对它的cron文件的更新，该文件列出了要周期性执行的任务调度。 RELOAD动作在REPLACE动作后不久发生，这意味着cron注意到一个用户的cron文件被更新而cron需要把它重新装入内存。该文件可能会查到一些反常的情况。 4 i3 o; }2 B( T; T3 m
" }. r: V, C6 [; G* u

/var/log/maillog

　　该日志文件记录了每一个发送到系统或从系统发出的电子邮件的活动。它可以用来查看用户使用哪个系统发送工具或把数据发送到哪个系统。下面是该日志文件的片段： ; H& ?( t, Q- A
; d1 t9 X; a! N/ Q- C" c0 J
: K1 Z3 V% }, K
Sep 4 17:23:52 UNIX sendmail[1950]: g849Npp01950: from=root, size=25,

class=0, nrcpts=1,

msgid=<200209040923.g849Npp01950@redhat.pfcc.com.cn>,
# V; F. I5 ~( ?, s0 s
relay=root@localhost
' @! u. @+ I4 F& c
Sep 4 17:23:55 UNIX sendmail[1950]: g849Npp01950: to=lzy@fcceec.net, # T# r* A9 D& A

ctladdr=root (0/0), delay=00:00:04, xdelay=00:00:03, mailer=esmtp, pri=30025,

relay=fcceec.net. [10.152.8.2], dsn=2.0.0, stat=Sent (Message queued) 4 ^+ O- ]. w; f

/var/log/messages - |( }&quot; @& S. Q7 Y
Y7 q7 B
　　该日志文件是许多进程日志文件的汇总，从该文件可以看出任何入侵企图或成功的入侵。如以下几行： * b- `3 n0 t9 @' R/ l7 N, l, w
9 L& D5 [( i) H0 q

QUOTE:
. J/ O( k+ B1 O' B. m1 e

Sep 3 08:30:17 UNIX login[1275]: FAILED LOGIN 2 FROM (null) FOR suying,

Authentication failure

Sep 4 17:40:28 UNIX -- suying[2017]: LOGIN ON pts/1 BY suying FROM
6 Q* @& l/ m8 [
fcceec.www.ec8.pfcc.com.cn

Sep 4 17:40:39 UNIX su(pam_unix)[2048]: session opened for user root by suying(uid=999)
该文件的格式是每一行包含日期、主机名、程序名，后面是包含PID或内核标识的方括号、一个冒号和一个空格，最后是消息。该文件有一个不足，就是被记录的入侵企图和成功的入侵事件，被淹没在大量的正常进程的记录中。但该文件可以由/etc/syslog文件进行定制。由 /etc/syslog.conf配置文件决定系统如何写入/var/messages。有关如何配置/etc/syslog.conf文件决定系统日志记录的行为，将在后面详细叙述。
  R: n2 z3 u3 Y&quot; ^# T
$ X' [8 x% ~) D
　　/var/log/syslog
: E7 V1 j7 j6 `, F( ?* z7 X& i
　　默认RedHat Linux不生成该日志文件，但可以配置/etc/syslog.conf让系统生成该日志文件。它和/etc/log/messages日志文件不同，它只记录警告信息，常常是系统出问题的信息，所以更应该关注该文件。要让系统生成该日志文件，在/etc/syslog.conf文件中加上： *.warning /var/log/syslog 　　该日志文件能记录当用户登录时login记录下的错误口令、Sendmail的问题、su命令执行失败等信息。下面是一条记录：

( D, O4 J+ z- \8 f6 G9 J5 F
QUOTE:
& W5 @1 ]( u% K7 k0 e. g( s7 R

Sep 6 16:47:52 UNIX login(pam_unix)[2384]: check pass; user unknown

/var/log/secure 6 m0 ]* J6 |9 j( k8 h: C

该日志文件记录与安全相关的信息。该日志文件的部分内容如下： / w/ c% y( L0 Q9 [/ Y


QUOTE:

Sep 4 16:05:09 UNIX xinetd[711]: START: ftp pid=1815 from=127.0.0.1 3 Z! q&quot; M8 {4 r2 R2 M1 }

Sep 4 16:05:09 UNIX xinetd[1815]: USERID: ftp OTHER :root & y* }&quot; s: R& P. ]
& Z4 ^3 u7 u# C8 g9 |
Sep 4 16:07:24 UNIX xinetd[711]: EXIT: ftp pid=1815 duration=135(sec)

Sep 4 16:10:05 UNIX xinetd[711]: START: ftp pid=1846 from=127.0.0.1

Sep 4 16:10:05 UNIX xinetd[1846]: USERID: ftp OTHER :root

Sep 4 16:16:26 UNIX xinetd[711]: EXIT: ftp pid=1846 duration=381(sec)
+ r, L&quot; _+ |- x6 J6 U
Sep 4 17:40:20 UNIX xinetd[711]: START: telnet pid=2016 from=10.152.8.2
! n1 w) p* S, O5 O& B6 e8 o8 c# T
/var/log/lastlog &quot; D& x&quot; U% v. J( |; S5 y
, D: ~5 }( A&quot; s: w; _+ Z3 o' W
# @! ?4 d5 k&quot; U1 |3 ?7 ~% Z9 l

4 @3 V: d! Y. c* `6 s
　　该日志文件记录最近成功登录的事件和最后一次不成功的登录事件，由login生成。在每次用户登录时被查询，该文件是二进制文件，需要使用 lastlog命令查看，根据UID排序显示登录名、端口号和上次登录时间。如果某用户从来没有登录过，就显示为&quot;**Never logged in**&quot;。该命令只能以root权限执行。简单地输入lastlog命令后就会看到类似如下的信息： ' `0 r- x) ]9 ]- e3 E( a0 U! r. V
* a3 p. ^+ t% ?& I2 }# D# }

QUOTE: ' D- N( s% h6 B* q. q+ `&quot; {8 c
- @; V$ _- a1 q3 G& E) u
Username Port From Latest 4 V) x2 N' T/ i) \& z4 ?+ D, B3 U

root tty2 Tue Sep 3 08:32:27 +0800 2002 ; y1 m$ O2 U* l&quot; H

bin **Never logged in**

daemon **Never logged in**
# R&quot; H0 z: t% Y9 z$ e$ M) Z
adm **Never logged in**

lp **Never logged in** 7 N% A9 H&quot; O5 g&quot; i9 q7 I- O
  W9 }' f1 s! t& k( d
sync **Never logged in** 7 o5 `4 J7 r2 D# L* F
&quot; X$ F& A) L% h) q) @6 K
shutdown **Never logged in**

halt **Never logged in**

mail **Never logged in**
% H: @$ Y& X, I+ d& o- l/ [
news **Never logged in** * m& p6 d5 G% \+ l; _; ]

uucp **Never logged in** 1 _9 X6 V&quot; F* D4 w+ A4 {% t
6 M6 r# X. A( h2 q8 @1 Z1 @2 ]: \
operator **Never logged in**
games **Never logged in** 5 W- I3 I; {) t  r

gopher **Never logged in** * _/ L9 h1 [! T; U: W8 x' p/ ~1 Z

ftp ftp UNIX Tue Sep 3 14:49:04 +0800 2002

nobody **Never logged in** ) q# t& t' G; c) H7 }2 m

nscd **Never logged in**
- {&quot; b. L! a: a7 }
mailnull **Never logged in**

ident **Never logged in**
  d8 ?/ T6 x6 M; {6 [
rpc **Never logged in**

rpcuser **Never logged in** ! s# r# H& V1 `/ v&quot; B9 B

xfs **Never logged in** ' Z& C) N( k) P* G& z

gdm **Never logged in**

postgres **Never logged in**
/ O! L: }7 O&quot; ~8 }. j
apache **Never logged in**
4 w+ l& {4 b% l% p( t&quot; Z; U0 ~6 h# m: ~
lzy tty2 Mon Jul 15 08:50:37 +0800 2002

suying tty2 Tue Sep 3 08:31:17 +0800 2002 ! J8 i8 p$ S5 o
2 w) B  P; m- L8 j8 Z&quot; o( T% u


　　系统账户诸如bin、daemon、adm、uucp、mail等决不应该登录，如果发现这些账户已经登录，就说明系统可能已经被入侵了。若发现记录的时间不是用户上次登录的时间，则说明该用户的账户已经泄密了。 4 Z4 c  }/ z& B; A  r/ I/ A
- b* S$ H2 i  ~7 X! P9 W- k

　　/var/log/wtmp
. p+ \' F% O3 \/ h# J0 |
9 M&quot; {7 \8 Q: n' w
　　该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件。因此随着系统正常运行时间的增加，该文件的大小也会越来越大，增加的速度取决于系统用户登录的次数。该日志文件可以用来查看用户的登录记录，last命令就通过访问这个文件获得这些信息，并以反序从后向前显示用户的登录记录，last也能根据用户、终端 tty或时间显示相应的记录。