linux日志管理(二)
avio--每次執行的平均I/O操作次數cp--用戶和係統時間總和,以分鐘計 [color=#f5fafe]中國[/color]
cpu--和cp一樣 [color=#f5fafe][/color]
k--內核使用的平均CPU時間,以1k為單位k*sec--CPU存儲完整性,以1k-core秒re--實時時間,以分鐘計 [color=#f5fafe][/color]
s--係統時間,以分鐘計 [color=#f5fafe][/color]
tio--I/O操作的總數
u--用戶時間,以分鐘計例如:
[table=95%][tr][td][color=#ff0000]以下為引用的內容:[/color]
842173.26re4.30cp@avio358k
210.98re4.06cp@avio299kfind
924.80re0.05cp@avio291k***other
10530.44re0.03cp@avio302kping
10430.55re0.03cp@avio394ksh
[email]1620.11re0.03cp@avio413ksecurity.sh[/email]*
1540.03re0.02cp@avio273kls
[email]5631.61re0.02cp@avio823kping6.pl[/email]*
[email]23.23re0.02cp@avio822kping6.pl[/email]
350.02re0.01cp@avio257kmd5sum
970.02re0.01cp@avio263kinitlog
[email]120.19re0.01cp@avio399kpromisc_check.s[/email]
150.09re0.00cp@avio288kgrep
110.08re0.00cp@avio332kawk[/td][/tr][/table]
用戶還可以根據用戶而不是命令來提供一個摘要報告。例如sa-m顯示如下:
[table=95%][tr][td][color=#ff0000]以下為引用的內容:[/color]
885173.28re4.31cp0avk
root879173.23re0.4.31cp0avk
alias30.05re0.00cp0avk
qmailp30.01re0.00cp0avk[/td][/tr][/table] 4.Syslog設備
Syslog已被許多日志函數採納,它用在許多保護措施中--任何程序都可以通過syslog紀錄事件。Syslog可以紀錄係統事件,可以寫到一個文件或設備中,或給用戶發送一個信息。它能紀錄本地事件或通過網絡紀錄另一個主機上的事件。
Syslog設備依據兩個重要的文件:/etc/syslogd(守護進程)和/etc/syslog.conf配置文件,習慣上,多數 syslog信息被寫到/var/adm或/var/log目錄下的信息文件中(messages.*)。一個典型的syslog紀錄包括生成程序的名字和一個文本信息。它還包括一個設備和一個優先級範圍(但不在日之中出現)。
每個syslog消息被賦予下面的主要設備之一:
LOG_AUTH--認證係統:login、su、getty等
LOG_AUTHPRIV--同LOG_AUTH,但只登錄到所選擇的單個用戶可讀的文件中
LOG_CRON--cron守護進程
Www.
LOG_DAEMON--其他係統守護進程,如routedLOG_FTP--文件傳輸協議:ftpd、tftpd
中國
LOG_KERN--內核產生的消息 中國
LOG_LPR--係統打印機緩衝池:lpr、lpd
LOG_MAIL--電子郵件係統 [color=#f5fafe][/color]
LOG_NEWS--網絡新聞係統
中國
LOG_SYSLOG--由syslogd(8)產生的內部消息
LOG_USER--隨機用戶進程產生的消息 [color=#f5fafe][/color]
LOG_UUCP--UUCP子係統
LOG_LOCAL0~LOG_LOCAL7--為本地使用保留
Syslog為每個事件賦予幾個不同的優先級:
Www.
LOG_EMERG--緊急情況 [color=#f5fafe][/color]
LOG_ALERT--應該被立即改正的問題,如係統數據庫破壞
中國
LOG_CRIT--重要情況,如硬盤錯誤
LOG_ERR--錯誤 [color=#f5fafe][/color]
LOG_WARNING--警告信息
LOG_NOTICE--不是錯誤情況,但是可能需要處理
LOG_INFO--情報信息
LOG_DEBUG--包含情報的信息,通常旨在調試一個程序時使用 [color=#f5fafe][/color]
syslog.conf文件指明syslogd程序紀錄日志的行為,該程序在啟動時查詢配置文件。該文件由不同程序或消息分類的單個條目組成,每個佔一行。對每類消息提供一個選擇域和一個動作域。這些域由tab隔開:選擇域指明消息的類型和優先級;動作域指明syslogd接收到一個與選擇標準相匹配的消息時所執行的動作。每個選項是由設備和優先級組成。當指明一個優先級時,syslogd將紀錄一個擁有相同或更高優先級的消息。所以如果指明 "crit",那所有標為crit、alert和emerg的消息將被紀錄。每行的行動域指明當選擇域選擇了一個給定消息後應該把他發送到哪兒。例如,如果想把所有郵件消息紀錄到一個文件中,如下:
#Logallthemailmessagesinoneplace
mail.*/var/log/maillog [color=#f5fafe][/color]
其他設備也有自己的日志。UUCP和news設備能產生許多外部消息。它把這些消息存到自己的日志(/var/log/spooler)中並把級別限為"err"或更高。例如: [color=#f5fafe][/color]
#Savemailandnewserrorsoflevelerrandhigherinaspecialfile.uucp,news.crit/var/log/spooler [color=#f5fafe][/color]
當一個緊急消息到來時,可能想讓所有的用戶都得到。也可能想讓自己的日志接收並保存。 #Everybodygetsemergencymessages, pluslogthemonanthermachine*.emerg**[email].emerg@linuxaid.com.cn[/email]
alert消息應該寫到root和tiger的個人賬號中: [color=#f5fafe][/color]
#RootandTigergetalertandhighermessages
*.alertroot,tiger
Www.
有時syslogd將產生大量的消息。例如內核("kern"設備)可能很冗長。用戶可能想把內核消息紀錄到/dev/console中。下面的例子表明內核日志紀錄被注釋掉了: [color=#f5fafe]Www.[/color]
#Logallkernelmessagestotheconsole [color=#f5fafe][/color]
#Loggingmuchelsecluttersupthescreen
#kern.*/dev/console
用戶可以在一行中指明所有的設備。下面的例子把info或更高級別的消息送到/var/log/messages,除了mail以外。級別"none"禁止一個設備:
#Loganything(exceptmail)oflevelinfoorhigher
#Don'tlogprivateauthenticationmessages!
*.info:mail.none;authpriv.none/var/log/messages Www.
在有些情況下,可以把日志送到打印機,這樣網絡入侵者怎么修改日志都沒有用了。通常要廣泛紀錄日志。Syslog設備是一個攻擊者的顯著目標。一個為其他主機維護日志的係統對於防範服務器攻擊特別脆弱,因此要特別注意。
有個小命令logger為syslog(3)係統日志文件提供一個shell命令接口,使用戶能創建日志文件中的條目。用法:logger例如: loggerThisisatest!它將產生一個如下的syslog紀錄:Aug1922:22:34tiger:Thisisatest!
它將產生一個如下的syslog紀錄:Aug1922:22:34tiger:Thisisatest!注意不要完全相信日志,因為攻擊者很容易修改它的。
5.程序日志
許多程序通過維護日志來反映係統的安全狀態。su命令允許用戶獲得另一個用戶的權限,所以它的安全很重要,它的文件為sulog。同樣的還有sudolog。另外,想Apache有兩個日志:access_log和error_log。
6.其他日志工具
[table=95%][tr][td][color=#ff0000]以下為引用的內容:[/color]
chklastlog
[url]ftp://coast.cs.purdue.edu/pub/tools/unix/chklastlog/[/url]
chkwtmp
[url]ftp://coast.cs.purdue.edu/pub/tools/unix/chkwtmp/[/url]
dump_lastlog
[url]ftp://coast.cs.purdue.edu/pub/tools/unix/dump_lastlog.Z[/url]
spar
[url]ftp://coast.cs.purdue.edu/pub/tools/unix/TAMU/[/url]
Swatch
[url]http://www.lomar.org/komar/alek/pres/swatch/cover.html[/url]
Zap
[url]ftp://caost.cs.purdue.edu/pub/tools/unix/zap.tar.gz[/url]
日志分類方法
http://csrc.nist.gov/nissc/1998/proceedings/paperD1.pdf
[/td][/tr][/table]
頁:
[1]