首页 | 安全文章 | 安全工具 | Exploits | 本站原创 | 关于我们 | 网站地图 | 安全论坛
  当前位置:主页>安全文章>文章资料>系统安全>文章内容
关于UINX-Liunx系统的LOG日志文件
来源:vittersafe.tk 作者:vitter 发布时间:2002-08-29  

网管主要靠系统的LOG即我们时常所说的日志文件来获得侵入的痕迹及你进来的IP或其他信息。当然也有些网管使用第三方工具来记录侵入他电脑的痕迹,这里主要要讲的是一般UNIX系统里记录你踪迹的文件。

那到底这些LOG日志文件放在哪里呢?这主要依靠的是你所进入的UNIX系统系统,各个系统有些不同的LOG文件,但大多数都应该有差不多的位置,最普通的位置就是下面的这几个位置:
----/usr/adm - 早期版本的UNIX
----/var/adm - 新一点的版本使用这个位置
----/var/log - 一些版本的Solaris,Linux BSD,Free BSD使用这个位置
----/etc - 大多数UNIX版本把utmp放在此处,一些也把wtmp放在这里,这也是
syslog.conf的位置

下面的一些文件耕具你所在的目录不同而不同:

acct 或 pacct -- 记录每个用户使用的命令记录
access_log -- 主要使用来服务器运行了NCSA HTTPD, 这
记录文件会有什么站点连接过你的服务器
aculog -- 保存着你拨出去的MODEMS记录
lastlog -- 记录了用户最近的LOGIN记录和每个用户的
最初目的地,有时是最后不成功LOGIN的记录
loginlog -- 记录一些不正常的LOGIN记录
messages -- 记录输出到系统控制台的记录,另外的信息
由syslog来生成
security -- 记录一些使用UUCP系统企图进入限制范围的事例
sulog -- 记录使用su命令的记录
utmp -- 记录当前登录到系统中的所有用户
这个文件伴随着用户进入和离开系统而不断变化.
utmpx -- UTMP的扩展
wtmp -- 记录用户登录和退出事件
syslog -- 最重要的日志文件,使用syslogd守护程序来获得
日志信息:
/dev/log -一个UNIX域套接字,接受在本地机器上
运行的进程所产生的消息
/dev/klog - 一个从UNIX内核接受消息的设备
514端口 - 一个INTERNET套接字,接受其他机器
通过UDP产生的syslog消息。
uucp -- 记录的UUCP的信息,可以被本地UUCP活动更新,也
可有远程站点发起的动作修改,信息包括发出和接受
的呼叫,发出的请求,发送者,发送时间和发送主机
lpd-errs -- 处理打印机故障信息的日志
ftp日志 -- 执行带-l选项的ftpd能够获得记录功能
httpd日志 -- HTTPD服务器在日志中记录每一个WEB访问记录
history日志 -- 这个文件保存了用户最近输入命令的记录
vold.log -- 记录使用外接媒介时遇到的错误记录

-=-=-=-=-=-=-=-=-=-=-=-=-
其他类型的日志文件-
-=-=-=-=-=-=-=-=-=-=-=-=-
有些类型的LOG文件没有特定的标题,但开始于一个特定的标志,你可以在前面头发现如下的标志,这就一般表示此是个LOG日志文件,你就可以编辑它了:

xfer -- 表明试图一个禁止的文件传输.
rexe -- 表明试图执行一个不允许的命令

还有许多其他其他类型的LOG文件存在,主要是第三方软件引起的,或者甚至他妈的网管自己有设置了一只"眼睛"在他的系统上,所以你要对你认为可能是LOG文件的文件多一份心眼。许多管理员喜欢把日志文件放在同一个目录中以便管理,所以你要检查你发现的LOG文件所在的目录中,是否有其他日志文件放在这里,如果有,咯,你知道怎么做。

另一个你要注意的是有关LOG用户MAIL的文件,此文件名可以多种多样,或则有时是syslog文件的一部分。你要知道syslog记录那些信息,你可以查看syslog.conf中的信息此文件的目录是在/etc中


 
[推荐] [评论(0条)] [返回顶部] [打印本页] [关闭窗口]  
匿名评论
评论内容:(不能超过250字,需审核后才会公布,请自觉遵守互联网相关政策法规。
 §最新评论:
  热点文章
·Windows 系统调用功能列表
·windows入侵提权-创建隐藏帐号(
· CC_STACKPROTECTOR防止内核stac
·Linux内核安全研究之Stack Overf
· Exploit The Linux Kernel NULL
·Kernel Locking 中文版
·IA32上Linux内核中断机制分析
·Award BIOS Rootkit,universal
·PHP代码审计
·N种内核注入DLL的思路及实现
·glibc 2.3.5 的一些新安全特性
·Struts2/XWork < 2.2.0 Remote C
  相关文章
·各种系统中密码文件的位置
·系统超级用户口令的恢复
·关于Win2000 Server安全
·三类 2000 系统进程 的总列表
·Linux 内核文件系统与设备操作流
·运行iis的最小ntfs权限
·VISTA用户内存安全保护漫谈之saf
·使用lilo, grub 和 NT OSLoader
·扭曲变换加密
·SQL SERVER 2000通讯管道后复用
·一个安全Web服务器的安装
·智能化防杀未知电脑病毒探讨
  推荐广告
CopyRight © 2002-2022 VFocuS.Net All Rights Reserved