X18-操作系统 linux日志审计

Linux日志审计

在unix/类unix（Linux）系统中，日志是内核（内存）的一部分。

用于记录系统、程序运行中发生的各种事件
通过阅读日志，有助于诊断和解决系统故障

日志文件的分类

①内核及系统日志
由系统syslog统一进行管理，日志格式基本相似
工具
syslog服务进程分两种：
系统（非内核）
messages

专门记录内核
kernel-->物理终端（/dev/console）---> /var/log/dmesg

②用户日志
记录系统用户登录及退出系统的相关信息
③程序日志
由各种应用程序独立管理的日志文件，记录格式不统一

 

不同程序的日志存放在哪？

路径 ：/etc/rsyslog.conf

可以看到这个配置文件划分了那些文件要存放在什么日志中，一般不建议进行更改（可能会导致日志找不到）

 

日志的切割怎么定义？

路径：/etc/logrotate.conf

正常普通程序服务都可以通过这四个设置进行配置

 这两个文件的优先级高于上面的优先级

 

 

日志切割

Linux 操作系统本身和大部分服务器程序的日志文件都默认放在目录/var/log/下。一部分程序共用一个日志文件，一部分程序使用单个日志文件，而有些大型服务器程序由于日志文件不止一个，所以会在/var/log/目录中建立相应的子目录来存放日志文件，这样既保证了日志文件目录的结构清晰，又可以快速定位日志文件。有相当一部分日志文件只有 root用户才有权限读取，这保证了相关日志信息的安全性

/var/log/boot.log -> 包含系统启动时的日志
/var/log/utmp -> 包含登录退出信息
/var/log/secure -> 包含验证和授权信息
/var/log/dpkg.log -> 包含安装或dpkg命令清除软件包的日志
/var/log/kern.log -> 包含内核产生的日志，有助于在定制内核时解决问题
/var/log/Xorg.x.log -> 来自X的日志信息
/var/log/alternatives.log -> 更新替代信息都记录在这个文件中
/var/log/cups -> 涉及所有打印信息的日志
/var/log/anaconda.log -> 在安装Linux时，所有安装信息都储存在这个文件中
/var/log/yum.log -> 包含使用yum安装的软件包信息
/var/log/cron -> 每当cron进程进行一个工作，就会将相关信息记录在此文件中

tail和grep的联合使用

tail  
    -f:显示最新10行
    -n x：显示最新n行

        

        May 19 04:10:01 lin systemd: Started Session 8 of user root.

        ①-③：时间点
        ④：主机名   /用户名
        ⑤：进程/服务
        ⑥：具体内容

grep
    -A n：关键字的下n行
    -B n：关键字的上n行

命令：

                tail -n 100 /var/log/messages | grep -A 5 dhcp   //查看关键字dhcp的下5行

                        两个--的意思的就是只显示五行，再多就不显示了

 

 

 

 

日志文件    描述

/var/log/cron     记录了系统定时任务相关的日志
/var/log/cups    记录打印信息的日志
/var/log/dmesg    记录了系统在开机时内核自检的信息，也可以使用dmesg命令直接查看内核自检信息
/var/log/mailog    记录邮件信息
/var/log/message    记录系统重要信息的日志。这个日志文件中会记录Linux系统的绝大多数重要信息，如果系统出现问题时，首先要检查的就应该是这个日志文件
/var/log/btmp    记录错误登录日志，这个文件是二进制文件
/var/log/lastlog    记录系统中所有用户最后一次登录时间的日志，这个文件是二进制文件
日志文件    描述
/var/log/wtmp    永久记录所有用户的登录、注销信息，同时记录系统的启动、重启、关机事件。同样这个文件也是一个二进制文件
/var/log/utmp     记录当前已经登录的用户信息，这个文件会随着用户的登录和注销不断变化，只记录当前登录用户的信息。同样这个文件不能直接vi，而要使用w,who,users等命令来查询
/var/log/secure    记录验证和授权方面的信息，只要涉及账号和密码的程序都会记录，比如SSH登录，su切换用户，sudo授权，甚至添加用户和修改用户密码都会记录在这个日志文件中

 

utmp和wtmp

因为这两个文件存放的都是二进制文件所以不能用一般的命令字去进行查看，要使用w,who,users等命令来查询

                用who关键字显示的是最完整的

                 

 

last

Linux last 命令用于显示用户最近登录信息。

单独执行 last 指令，它会读取位于 /var/log/目录下，名称为 wtmp 的文件，并把该文件记录登录的用户名，全部显示出来。

still：仍在，正在
crash：持续登录到被强制关机
down：持续到正常关机

reboot那一行是系统启动 登陆方式代表系统内核

 

lastb

        Linux lastb 命令用于列出登入系统失败的用户相关信息。

        单独执行 lastb 指令，它会读取位于 /var/log 目录下，名称为 btmp 的文件，并把该文件记录登入失败的用户名，全部显示出来

特意用crt进行失败的连接，直接就显示出来了登陆失败的用户名

 

 

lastlog

        显示系统中所有用户最近一次登录信息,lastlog命令用于显示系统中所有用户最近一次登录信息。lastlog文件在每次有用户登录时被查询。

   -t n：n天内登录情况

   -u 用户名：显示用户最后一次登录时间

   -b<天数>：显示指定天数前的登录信息；

    -h：显示召集令的帮助信息；

日志消息的级别

0  EMERG（紧急）：会导致主机系统不可用的情况
1  ALERT（警告）：必须马上采取措施解决问题
2  CRIT（严重）：比较严重的情况
3  ERR（错误）：运行出现错误
4  WARNING （提醒）：可能会影响系统功能的事件
5  INFO（信息）：一般信息
6  DEBUG（调试）：程序或系统调试信息等

由相应的应用程序独立进行管理

Web服务：/var/log/httpd
access_log、error_log
代理服务：/var/log/squid
access.log、cache.log
FTP服务：/var/log/xferlog

分析工具

文件查看、grep过滤检索、Webmin管理套件中查看
awk、sed等文本过滤、格式化编辑工具
Webalizer、Awstats等专用日志分析工具