昆山信息网
美食
当前位置:首页 > 美食

详解Linux系统下三类主要日志子系统 (2)

发布时间:2019-09-13 20:37:14 编辑:笔名

日志使用注意事项 系统管理人员应该提高警惕,随时注意各种可疑状况,并且按时和随机地检查各种系统日志文件,包括一般信息日志、网络连接日志、文件传输日志以及用户登录日志等。在检查这些日志时,要注意是否有不合常理的时间记载。例如: ■ 用户在非常规的时间登录; ■ 不正常的日志记录,比如日志的残缺不全或者是诸如wtmp这样的日志文件无故地缺少了中间的记录文件; ■ 用户登录系统的IP地址和以往的不一样; ■ 用户登录失败的日志记录,尤其是那些一再连续尝试进入失败的日志记录; ■ 非法使用或不正当使用超级用户权限su的指令; ■ 无故或者非法重新启动各项网络服务的记录。 另外, 尤其提醒管理人员注意的是: 日志并不是完全可靠的。高明的黑客在入侵系统后,经常会打扫现场。所以需要综合运用以上的系统命令,全面、综合地进行审查和检测,切忌断章取义,否则很难发现入侵或者做出错误的判断。 users命令: users用单独的一行打印出当前登录的用户,每个显示的用户名对应一个登录会话。如果一个用户有不止一个登录会话,那他的用户名将显示相同的次数。运行该命令将如下所示: [root@working]# users root root //只登录了一个Root权限的用户。 last命令: last命令往回搜索wtmp来显示自从文件第一次创建以来登录过的用户。系统管理员可以周期性地对这些用户的登录情况进行审计和考核,从而发现其中存在的问题,确定不法用户,并进行处理。运行该命令,如下所示: [root@working]# last devin pts/1 10.0.2.221 Mon Jul 21 15:08-down (8+17:46) devin pts/1 10.0.2.221 Mon Jul 21 14:42 - 14:53 (00:11) changyi pts/2 10.0.2.141 Mon Jul 21 14:12 - 14:12 (00:00) devin pts/1 10.0.2.221 Mon Jul 21 12:51 - 14:40 (01:49) reboot system boot 2.4.18 Fri Jul 18 15:42 (11+17:13) reboot system boot 2.4.18 Fri Jul 18 15:34 (00:04) reboot system boot 2.4.18 Fri Jul 18 15:02 (00:36)

读者可以看到,使用上述命令显示的信息太多,区分度很小。所以,可以通过指明用户来显示其登录信息即可。例如: 使用last devin来显示devin的历史登录信息,则如下所示: [root@working]# last devin devin pts/1 10.0.2.221 Mon Jul 21 15:08 - down (8+17:46) devin pts/1 10.0.2.221 Mon Jul 21 14:42 - 14:53 (00:11)

ac命令:ac命令根据当前的/var/log/wtmp文件中的登录进入和退出来报告用户连接的时间(小时),如果不使用标志,则报告总的时间。另外,可以加一些参数,例如,last -t 7表示显示上一周的报告。 lastlog命令 lastlog文件在每次有用户登录时被查询。可以使用lastlog命令检查某特定用户上次登录的时间,并格式化输出上次登录日志/var/log/lastlog的内容。它根据UID排序显示登录名、端口号(tty)和上次登录时间。如果一个用户从未登录过,lastlog显示“**Never logged**”。注意需要以root身份运行该命令。运行该命令如下所示: [root@working]# lastlog Username Port From Latest root pts/1 10.0.2.129 二 5月 10 10:13:26 +0800 2005 opal pts/1 10.0.2.129 二 5月 10 10:13:26 +0800 2005

小孩汉森四磨汤的功效
宝宝便秘吃啥好
宝宝止咳化痰吃什么药
三岁宝宝口臭是什么原因