大家好,我是anyux。本文介绍操作系统日志
网络环境日志分类
Unix/Linux系统日志
1.登录时间日志子系统:登录时间日志通常会与多个程序的执行产生关联,一般情况下,会记录到/var/log/wtm和/var/run/utmp中
2.进程统计日志子系统:主要由系统的内核来实现完成记录操作。进程终止,系统能自动记录该进程,并在其日志文件中添加记录信息
3.错误日志子系统:由syslogd实现。对各个应用系统(HTTP,FTP,Samba)的守护进程、系统内核来自动利用syslog向/var/log/messages文件写入信息
Unix/Linux日志格式
1.基于syslogd的日志文件,由Syslog协议与POSIX标准定义,以ascii文本形式保存。通常由日期、时间、主机名、ip地址和优先级等。syslog分为0-7共8个优先级
2.应用程序的日志文件,由ascii文本形式保存,默认存储在/var/log/messages目录中,如/var/log/httpd/ ,/var/log/samba
3.操作记录日志文件。包含两种,登录人员的日志信息lastlog.二进制格式存储,包含用户名,终端号,登录ip,登录时间等。系统邮件服务器记录日志maillog,ascii文本格式存储,包含进程名,邮件代号、日期、时间、操作过程
Windows日志
1.系统日志:系统中各组件运行时的事件。分为驱动程序问题,系统组件问题,应用程序问题。这些问题包含数据丢失,错误,崩溃等
2.安全日志:记录安全事件,包含登录、退出信息,重要资源的操作等
3.应用程序日志:记录应用程序各类事件
windows一般使用二进制格式存储,使用事件查看器或第三主分析工具读取。
Windows系统日志
windows200 Advanced Server
日志类型目录位置应用程序C:WINNTsystem32configAppEvent.Evt安全C:WINDOWSsystem32configSecEvent.Evt系统C:WINDOWSsystem32configSysEvent.EvtIIS目录C:WINDOWSsystem32configLogFiles
Windows Server 2003 企业版
日志类型目录位置应用程序C:WINDOWSsystem32configAppEvent.Evt安全C:WINDOWSsystem32configSecEvent.Evt系统C:WINDOWSsystem32configSysEvent.Evt目录服务C:WINDOWSsystem32configNTDS.EvtDNS服务器C:WINDOWSsystem32configDnsEvent.Evt文件复制服务C:WINDOWSsystem32configNtFrs.Evt防火墙日志C:WINDOWSpfirewall.log
Windows Server 2008 标准版
日志类型目录位置应用程序%SystemRoot%System32WinevtLogsApplication.evtx安全%SystemRoot%System32WinevtLogsSecurity.evtx系统%SystemRoot%System32WinevtLogsSystem.evtx防火墙%SystemRoot%System32WinevtLogspfirewall.log
Windows Vista/Windows 7 /Windows 8 日志情况
日志类型目录位置应用程序%SystemRoot%System32WinevtLogsApplication.evtx最大日志容量1801PB安全%SystemRoot%System32WinevtLogsSecurity.evtx系统%SystemRoot%System32WinevtLogsSystem.evtx防火墙%SystemRoot%System32WinevtLogspfirewall.log
网络设备日志
PIX防火墙日志,记录事件如下:AAA(认证、授权、记账)事件,Connection事件,SNMP事件,Routing errors事件,Failover事件,PIX系统管理事件
交换机日志,记录设备自身运行状态,及异常状态,兼容Syslog RFC 3164的支持