日志使用注意事项
日志使用注意事项
系统管理人员应该提高警惕,随时注意各种可疑状况,并且按时和随机地检查各种系统日志文件,包括一般信息日志、网络连接日志、文件传输日志以及用户登录日志等。在检查这些日志时,要注意是否有不合常理的时间记载。例如:
◆用户在非常规的时间登录;
◆不正常的日志记录,比如日志的残缺不全或者是诸如wtmp这样的日志文件无故地缺少了中间的记录文件;
◆用户登录系统的IP地址和以往的不一样;
◆用户登录失败的日志记录,尤其是那些一再连续尝试进入失败的日志记录;
◆非法使用或不正当使用超级用户权限su的指令;
◆无故或者非法重新启动各项网络服务的记录。
另外, 尤其提醒管理人员注意的是: 日志并不是完全可靠的。高明的黑客在入侵系统后,经常会打扫现场。所以需要综合运用以上的系统命令,全面、综合地进行审查和检测,切忌断章取义,否则很难发现入侵或者做出错误的判断。
users命令: users用单独的一行打印出当前登录的用户,每个显示的用户名对应一个登录会话。如果一个用户有不止一个登录会话,那他的用户名将显示相同的次数。运行该命令将如下所示:
[root@working]# users |
last命令: last命令往回搜索wtmp来显示自从文件第一次创建以来登录过的用户。系统管理员可以周期性地对这些用户的登录情况进行审计和考核,从而发现其中存在的问题,确定不法用户,并进行处理。运行该命令,如下所示:
[root@working]# last devin pts/1 10.0.2.221 Mon Jul 21 15:08-down (8+17:46) devin pts/1 10.0.2.221 Mon Jul 21 14:42 - 14:53 (00:11) changyi pts/2 10.0.2.141 Mon Jul 21 14:12 - 14:12 (00:00) devin pts/1 10.0.2.221 Mon Jul 21 12:51 - 14:40 (01:49) reboot system boot 2.4.18 Fri Jul 18 15:42 (11+17:13) reboot system boot 2.4.18 Fri Jul 18 15:34 (00:04) reboot system boot 2.4.18 Fri Jul 18 15:02 (00:36) |
[root@working]# last devin devin pts/1 10.0.2.221 Mon Jul 21 15:08 - down (8+17:46) devin pts/1 10.0.2.221 Mon Jul 21 14:42 - 14:53 (00:11) |
lastlog命令 lastlog文件在每次有用户登录时被查询。可以使用lastlog命令检查某特定用户上次登录的时间,并格式化输出上次登录日志/var/log/lastlog的内容。它根据UID排序显示登录名、端口号(tty)和上次登录时间。如果一个用户从未登录过,lastlog显示“**Never logged**”。注意需要以root身份运行该命令。运行该命令如下所示:
[root@working]# lastlog Username Port From Latest root pts/1 10.0.2.129 二 5月 10 10:13:26 +0800 2005 opal pts/1 10.0.2.129 二 5月 10 10:13:26 +0800 2005 |
(下一页)
网友评论