Linux日志安全

日志安全和分析

Linux日志系统分类

可以大概分为3大类

系统接入日志 - 把记录写入到/var/log/wtmp和/var/run/utmp；login等程序更新wtmp和utmp文件，使系统管理员能够跟踪谁在何时登录到系统。

错误日志 - 有syslogd执行记录。各种系统守护进程、用户程序和内核通过syslogd项文件/var/log/messages报告值得注意的时间。

进程统计日志 - Linux内核记录记录该日志，当一个进程终止时，进程统计文件(pacct或acct)中会进行记录。

进程统计日志可以供系统管理员分析系统使用者对系统进行的配置，以及对文件进行的操作。

连接时间日志

utmp、wtmp和lastlog日志文件时多数重用unix日志子系统的关键--保持用户登录进入和退出的记录

    有关当前登录用户的信息记录在文件utmp中

    登录和注销记录在文件wtmp中

    最后一次登录文件可以用lastlog命令查看，数据交换、关机和重启也记录在wtmp文件中。

    who、w、users、ac命令由系统内核执行。

    当一个进程终止时，为每个进程往进程统计文件(pacct或acct)中写一个记录。进程统计的目的时为系统中的基本服务提供命令使用统计。

    /var/log/secure登录进系统给的记录(包括sshd telnet pop)

相关命令总结:

who:查询utmp文件并报告当前登录的每个用户。who的缺省输出包括用户名、终端类型、登陆日期及远程主机。

w:查询utmp文件并显示当前系统中每个用户和他所运行的进程信息。

users:用单独的一行打印出当前登录的用户，每个显示的用户名对应一个登录会话。如果一个用户由不知一个登录会话，那他的用户名将显示相同的次数。

last:往回搜索wtmp来显示自从文件第一次创建以来登录过的用户。

ac:更加当前的/var/log/wtmp文件中的登录进入和退出来报告用户连结的时间，如果不适用标志，则报告总的时间。

lastlog:在每次由用户登录时被查询。可以使用lastlog命令来检查某特定用户上次登录的时间，并格式化输出上次登录日志/var/log/lastlog的内容。

它根据UID排序显示登录名、端口号(tty)和上次登录时间。

错误日志(syslog配置)

syslog常被称为系统日志或系统记录，是一种用来在互联网协议(TCP/IP)的网络中传递记录档讯息的标准。

syslog可以记录系统时间，可以写到一个文件或设备中，或给用户发送一个信息。他能记录本地时间或通过网络记录另一个主机上的时间。

linux常见的日志文件名的统计

/var/log/cron   工作调度

/var/log/dmesg     内核检测过程中产生的信息

/var/log/lastlog    检测所有账号登录信息

/var/log/maillog或/var/log/mail/*   邮件

/var/log/messages   记录系统发生的所有错误信息

/var/log/secure   涉及账号密码信息

/var/log/wtmp,/var/log/faillog记录正确登录系统与错误登录系统者的账号信息

/ar/log/httpd/*,/var/log/news/*,/var/log/samba/*   不同网络服务的信息记录处