分析日志文件

Netstat ss:也能显示端口号，IP地址和pid号

Nmap命令常用的选项和扫描

-p指定扫描的端口

-n禁用反向dns解析

-S tcp的syn扫描，只向目标发出SYn数据包，如果收到Syn/ack响应包就认为目标端口正在监听，并立即断开连接。否则认为目标端口并未开放

-T tcp连接扫描，这是完整的tcp扫描方式（默认扫描类型），如果建立一个tcp连接，如果成功则认为目标正在监听服务，否则认为目标端口并未开放

-F tcp的fin扫描，开放的端口会忽略这种数据包，关闭的端口会回应Rst数据包。许多防火墙只对Syn数据包进行过滤，而忽略了其他形式的tcp攻击包，这种类型的扫描可间接检测防火墙的健壮性

-u udp扫描，探测目标主机提供哪些udp服务,udp扫描的速度会比较慢

-P  icmp扫描，类似于ping检测，快速判断目标主机是否存活，不做其他扫描

-PU跳过ping检测，这种方式认为所有的目标主机是存活的，当对方不响应icmp请求时，使用这种方式可以避免因无法ping通而放弃扫描

Netstat -natp 查看正在运行的使用tcp协议的网络状态信息

Netstat -naup 查看正在运行的使用udp协议的网络状态信息

Natatat命令常用选项：

-a:显示主机中所有活动的网络连接信息（包括监听、非监听状态的服务端口）

-n:以数字的形式显示相关的主机地址、端口等信息

-t:查看tcp相关的信息

-u:显示udp协议相关的信息

-p:显示与网络连接相关的进程号、进程号名称信息（该选项需要root权限）

-r:显示路由表信息

-l:显示处于监听状态的网络连接极端口信息

inode号

每个inode都有一个号码，操作系统用inode号码来识别不同的文件

Linux系统内部不适应文件名。而使用inode号码来识别文件

对于用户，文件名只是inode号码便于识别的名称

文件名	inode号码1
文件名	inode号码2

访问权限

根据文件名查找到inode号，根据indoe号找到inode信息

根据inode号判断用户是否具有访问权限

如果有访问权限指向对应

硬盘最小存储单元扇区 512字节

系统存取文件数据时，是通过 块（block）来连续8个扇区组成，4kb大                    小，块是文件存取的最小单员

文件存储时文件名和文件数据分开存储的

文件数据 包含原信息和实际数据

文件名-> 目录文件

原信息（包含除了文件名以外的文件属性—>inode）

实际数据->块（bloke）

用户访问文件时，通过文件名找到对应的inode号，通过inode号获取inode信息，根据

Inode信息判断用户是否有权限访问文件，有则指向对于的数据block并读取数据，无责

拒绝访问

查看inode号

Is -i

Stat

Atime 最近的文件访问时间

Mtime 最近的文件内容修改时间

Ctime 最近的文件属性修改时间

每个文件系统（分区）中inode数量是有限的，可通过 df-i查看

如果rm文件名 删除不了文件，可通过inode号删除文件

如果rm文件名，删除不了文件，可通过inode号删除文件

Find目录-inum inode号 -delete

                   -exec rm -rf{}

移动文件或修改文件名，使用echo修改文件内容，都不会改变inode号

使用vi 编辑器 修改文件 会改变 inode号，因为vi编辑器会替换源文件

ext类型文件恢复分为xfsdump与xfsrestore

日志的分类

内核及系统日志

用户日志

程序日志

日志默认存放于/var/log

Auth  用户认证时产生的日志

Authpriv  ssh、ftp等登录信息的验证信息

Doemon 一些守护进程产生的日志

ftp etp产生的日志

Ipr 打印相关活动

Mark rsyslog服务内部的信息，时间标识

Syslog 系统日志

Uucp unix-to-unix copy 两个unix之间的相关通信

Consolo 针对系统控制台的信息

Cron 系统执行定时任务产生的日志

Kern系统内核日志

Local 0~local 17自定义程序使用

Mail 邮件日志

User 用户日志

常见的一些日志文件

内核及公共信息日志

计划任务日志

系统引导日志

邮件引导日志

用户登录日志

日志的功能

用于记录系统、程序运行中发生的各种事件

通过阅读日志，有助于诊断和解决系统故障

主要日志文件

用户登录日志

记录系统用户登录及退出系统的相关信息

内核及系统日志

有系统服务rsyslog统一进行管理，日志格式基本相似

程序日志

有各种应用程序独立管理的日志文件，记录格式不统一

主配置文件/etc/rsylog.conf

*info 表示info登记及以上的所有登记的信息都写到对应的日志文件里

Mail.none 表示某事件的信息不写到日志文件里（包括比如邮件）

0 EMERG(紧急)会导致主机系统不可用的情况

1 ALERT(警告)必须马上采取措施解决的问题

2 CRIT(严重)比较严重的情况

3 ERR(错误)运行出现错误

4 WARNING(提醒)可能会影响系统功能的事件

5 NOTICE(注意)不会影响系统但值得注意

6 INFO(信息) 一般信息

7 DEBUG(调试)程序或系统调试信息等

公共日志/var/log/messahes文件的记录格式

时间标签：信息发出的日期和时间

主机名：生成信息的日志和时间

子系统名称：发出信息的应用程序的名称

信息：信息的具体内容

系统日志 /var/log/messages,由rsyslog服务来管理，主配置文件/etc/rsyslog.conf

用户登录日志 /var/log/secure

Journalctl 可以直接查看 /var/log/messages 日志内容

-r 倒序看，从最新的日志开始查看

-u指定服务，用于之查看某个服务的日志

-i可以实时跟踪日志的更新

由相应的应用程序独立进行管理

Web服务：/var/log/httpd

Access_log 记录客户访问事件

Error_log 记录错误事件

代理服务：/var/log/sqid

Access.log cache.log

分析工具

文本查看、grep过滤检索、webmin管理套件中查看

Awk、sed等文本过滤、格式化编辑工具

Webalizer、awstats等专用日志分析工具

及时作好备份和归档 rsyslog shell/python 脚本 ELK

延长诶之保存期限

控制日志访问权限

日志中可能会包含各类敏感信息，如账户、口令等

集中管理日志

将服务器的日志文件发到统一的日志文件服务器

便于日志信息的统一收集、整理和分析

杜绝日志信息的意外丢失、恶意篡改或删除