成【chéng】功地管理任【guǎn lǐ rèn】何系统🌧的【de】⌛关键之【guān jiàn zhī】一【yī】👅，是要知【shì yào zhī】道系统🤦中正在【zài】🤚发生什【fā shēng shí】🍤么事【me shì】。Linux 中提供了异常【le yì cháng】👘日 志【zhì】，并且日志的【zhì de】⌛细节是可【kě】👽配置的【de】⌛。Linux 日志【zhì】都以明文🍍形式存储，所以用【yòng】🈚户不需要特殊🏚的【de】⌛工具就可以搜【kě yǐ sōu】索和💭阅读它🆘们。还可以【hái kě yǐ】编写脚【biān xiě jiǎo】本，来扫描【lái sǎo miáo】这些日🌷志【zhì】，并 基于它们的内【men de nèi】⏪容去自动执行【háng】🏸某些功能。Linux 日志存【rì zhì cún】储在【zài】🤚 /var/log 目录中🖥。这里有几个由【yóu】🗡系统维🔱护的【de】日⛔志【zhì】文件【wén jiàn】📡，但其他【dàn qí tā】服务和程【chéng】序也🐎可【kě】能会🌜把它 们的【men de】⌛日志【zhì】放在【zài】🤚这里。大多数【dà duō shù】🙉日志【zhì】只有root账户才可【kě】以读，不过修⛏改文件的【wén jiàn de】🎭访问权【fǎng wèn quán】限就可【kě】以让其他人可【kě】读。

　　RedHat Linux常用【yòng】的【de】📳日志文【rì zhì wén】件【jiàn】📡

　　RedHat Linux常见的【cháng jiàn de】⌛日志文【rì zhì wén】件【jiàn】📡详述如下
　　/var/log/boot.log
　　该文件【gāi wén jiàn】🖕记录了系统在【zài】🤚引导过程【chéng】📬中发生【zhōng fā shēng】的【de】事🎻件【jiàn】，就是Linux系统开机自检过程【chéng】📬显示的【de】信【xìn】🏺息。

　　/var/log/cron
　　该日志【gāi rì zhì】🐫文件【wén jiàn】📡记录crontab守护进程【chéng】📬crond所派生【pài shēng】🈲的【de】子进🌴程【chéng】的【de】动🧡作，前面加🍩上用【yòng】🈚户、登录时🙅间【jiān】👒和PID，以及派生【pài shēng】〽出的【de】⌛进程【chéng】的【de】📨动作。CMD的【de】⌛ 一【yī】个动🛳作是cron派生【pài shēng】〽出一【yī】个调度【diào dù】🛃进程【chéng】的【de】📨常见情况【kuàng】。REPLACE（替换）动作记👎录用【yòng】🈚户对它【hù duì tā】的【de】⌛cron文件的【wén jiàn de】🎭更新，该文件【gāi wén jiàn】🖕列出了【liè chū le】🌝要周期性执行【háng】的【de】任务🐩调度【diào dù】🛃。 RELOAD动作在【zài】🤚REPLACE动作后📍不久发生〽，这意味【zhè yì wèi】着【zhe】cron注意到一【yī】个用【yòng】🈚户的【de】🚦cron文件【wén jiàn】📡被更新【bèi gèng xīn】而cron需要把🥢它重新装入内【zhuāng rù nèi】存。该文件【gāi wén jiàn】🖕可【kě】能会🌜查【chá】 到一【yī】些反常的【de】⌛情况【kuàng】。

　　/var/log/maillog
　　该日志【gāi rì zhì】🐫文件【wén jiàn】📡记录了每一个【měi yī gè】发送到【fā sòng dào】系统或从系统发出的【de】电【diàn】👷子邮件【jiàn】的【de】⌛活动。它可【kě】以🛥用【yòng】🈚来查【chá】看【kàn】🌇用【yòng】🈚户使用【hù shǐ yòng】🈚哪个系【nǎ gè xì】统发送工具或【gōng jù huò】把🐪数据发🔅送到哪【sòng dào nǎ】个系统【gè xì tǒng】。下面是【xià miàn shì】该日志【gāi rì zhì】🐫文件的【wén jiàn de】🎭片段【piàn duàn】📆：



引用【yǐn yòng】🏿：
Sep 4 17:23:52 UNIX sendmail[1950]: g849Npp01950: from=root, size=25,
class=0, nrcpts=1,
msgid=<200209040923.g849Npp01950@redhat.pfcc.com.cn>,
relay=root@localhost
Sep 4 17:23:55 UNIX sendmail[1950]: g849Npp01950: to=lzy@fcceec.net,
ctladdr=root (0/0), delay=00:00:04, xdelay=00:00:03, mailer=esmtp, pri=30025,
relay=fcceec.net. [10.152.8.2], dsn=2.0.0, stat=Sent (Message queued)
/var/log/messages


　　该日志【gāi rì zhì】🐫文件【wén jiàn】📡是许多【shì xǔ duō】进程【chéng】日志【zhì】🍃文件的【wén jiàn de】🎭汇总【huì zǒng】🎼，从该文【cóng gāi wén】🔠件可以【jiàn kě yǐ】🍠看【kàn】🌇出任何入侵企【rù qīn qǐ】图或成【chéng】功的【gōng de】⌛入侵【rù qīn】。如以下几行【háng】：


引用【yǐn yòng】🏿：

Sep 3 08:30:17 UNIX login[1275]: FAILED LOGIN 2 FROM (null) FOR suying,
Authentication failure
Sep 4 17:40:28 UNIX -- suying[2017]: LOGIN ON pts/1 BY suying FROM
fcceec.www.ec8.pfcc.com.cn
Sep 4 17:40:39 UNIX su(pam_unix)[2048]: session opened for user root by suying(uid=999)


　　该文件【gāi wén jiàn】🖕的【de】⌛格式是【gé shì shì】每一【měi yī】🕓行【háng】包含🍘日期【rì qī】、主机名【zhǔ jī míng】、程【chéng】序名📤，后面是🏛包含PID或内核标识的【biāo shí de】⌛方括号【fāng kuò hào】、一【yī】个冒号和一【yī】个空格【gè kōng gé】，最后是【zuì hòu shì】🧚消息。该文件【gāi wén jiàn】🖕有一【yī】个🐄不足🍎， 就是被记录的【jì lù de】⌛入侵企【rù qīn qǐ】图和成【chéng】📉功的【gōng de】⌛入侵【rù qīn】事件【jiàn】⭐，被淹没在【zài】大量👫的【de】⌛正常进程【chéng】的【de】📨记录中。但该文【dàn gāi wén】件【jiàn】🖕可【kě】以由【yóu】🗡/etc/syslog文件【wén jiàn】📡进行定【jìn háng dìng】制【zhì】🌫。由【yóu】🗡/etc /syslog.conf配置文件【wén jiàn】决🌵定系统【dìng xì tǒng】如何写入/var/messages。有关如何配置/etc/syslog.conf文件【wén jiàn】决🌵定系统【dìng xì tǒng】日志【zhì】记🥗录的行【lù de háng】🐚 为，将在【jiāng zài】🤚后面详细叙述。

　　/var/log/syslog
　　默认RedHat Linux不生成【chéng】🖼该日志【gāi rì zhì】🐫文件【wén jiàn】📡，但可【kě】以🛄配置/etc/syslog.conf让系统生成【chéng】😐该日志【gāi rì zhì】🐫文件【wén jiàn】📡。它和🧗/etc/log /messages日志文【rì zhì wén】件【jiàn】📡不同，它只记录警告信息【xìn xī】🥛，常常是🧛系统出😷问题的【de】⌛信息【xìn xī】🥛，所以更应该关🍝注该文🥟件【jiàn】。要让系【yào ràng xì】统生成【chéng】😐该日志【gāi rì zhì】🐫文件【wén jiàn】📡，在【zài】🤚/etc /syslog.conf文件【wén jiàn】中⏱加上【jiā shàng】：*.warning /var/log/syslog 　　该日志【gāi rì zhì】🐫文件【wén jiàn】能🐓记录当用【yòng】🈚户登录【hù dēng lù】时🙅login记录下👙的【de】⌛错误口🕗 令🍎、Sendmail的【de】⌛问题、su命令🍎执行【háng】失败等信息【xìn xī】🥛。下面是【xià miàn shì】一条记【yī tiáo jì】录：


引用【yǐn yòng】🏿：

Sep 6 16:47:52 UNIX login(pam_unix)[2384]: check pass; user unknown


/var/log/secure
该日志【gāi rì zhì】🐫文件【wén jiàn】📡记录与安全相关的【guān de】⌛信息【xìn xī】🥛。该日志【gāi rì zhì】🐫文件的【wén jiàn de】🎭部分内🎁容如下【róng rú xià】：
引用【yǐn yòng】🏿：
Sep 4 16:05:09 UNIX xinetd[711]: START: ftp pid=1815 from=127.0.0.1
Sep 4 16:05:09 UNIX xinetd[1815]: USERID: ftp OTHER :root
Sep 4 16:07:24 UNIX xinetd[711]: EXIT: ftp pid=1815 duration=135(sec)
Sep 4 16:10:05 UNIX xinetd[711]: START: ftp pid=1846 from=127.0.0.1
Sep 4 16:10:05 UNIX xinetd[1846]: USERID: ftp OTHER :root
Sep 4 16:16:26 UNIX xinetd[711]: EXIT: ftp pid=1846 duration=381(sec)
Sep 4 17:40:20 UNIX xinetd[711]: START: telnet pid=2016 from=10.152.8.2


/var/log/lastlog


　　该日志【gāi rì zhì】🐫文件【wén jiàn】📡记录最近成功【jìn chéng gōng】登🕑录的【de】事🍏件【jiàn】和最后一【yī】次📡不成功【bú chéng gōng】⏪的【de】⌛登录事件【jiàn】⭐，由【yóu】🗡login生〽成【chéng】。在【zài】每次🍕用【yòng】🈚户登录【hù dēng lù】时🙅被查【chá】询，该文件【gāi wén jiàn】🖕是二进【shì èr jìn】制【zhì】文件【wén jiàn】📡，需要使用【yòng】🈚 lastlog命令查【mìng lìng chá】📔看【kàn】🌇，根据【gēn jù】🎷UID排序显示登录名、端口【duān kǒu】🕗号和上次🧘登录时🙅间【jiān】👒。如果某用【yòng】🈚户从来没有登录过【lù guò】，就显示 为"**Never logged in**"。该命令🍎只能以【zhī néng yǐ】💹root权限执【quán xiàn zhí】行【háng】。简单地【jiǎn dān dì】输入lastlog命令🍎后就会【hòu jiù huì】看【kàn】🌇到类似如下的【de】👟信息【xìn xī】🥛：


引用【yǐn yòng】🏿：

Username Port From Latest
root tty2 Tue Sep 3 08:32:27 +0800 2002
bin **Never logged in**
daemon **Never logged in**
adm **Never logged in**
lp **Never logged in**
sync **Never logged in**
shutdown **Never logged in**
halt **Never logged in**
mail **Never logged in**
news **Never logged in**
uucp **Never logged in**
operator **Never logged in**
games **Never logged in**
gopher **Never logged in**
ftp ftp UNIX Tue Sep 3 14:49:04 +0800 2002
nobody **Never logged in**
nscd **Never logged in**
mailnull **Never logged in**
ident **Never logged in**
rpc **Never logged in**
rpcuser **Never logged in**
xfs **Never logged in**
gdm **Never logged in**
postgres **Never logged in**
apache **Never logged in**
lzy tty2 Mon Jul 15 08:50:37 +0800 2002
suying tty2 Tue Sep 3 08:31:17 +0800 2002

　　系统账户诸如【hù zhū rú】🌅bin、daemon、adm、uucp、mail等决不应该【gāi】🍬登录【dēng lù】🎻，如果发【rú guǒ fā】现这些【xiē】账户【hù】🥫已经登录【dēng lù】🎻，就说明系统可【xì tǒng kě】能已经被入侵了【le】。若发现记录【jì lù】📦的时间【shí jiān】🤟不是用【yòng】😱户【hù】上次🏬登录【dēng lù】🎻的时间【shí jiān】🤟，则说明【zé shuō míng】该【gāi】🍬用【yòng】😱户的【hù de】😬账户【hù】🥫已经泄密了【le】。

　　/var/log/wtmp

　　该日志【gāi rì zhì】👸文【wén】🔼件【jiàn】🈸永久记【yǒng jiǔ jì】录【lù】🔃每个用【yòng】😱户登录【hù dēng lù】🤤、注销及系统的启动、停机的【tíng jī de】事件【jiàn】🈸。因此随着系统正常运🐜行时间【háng shí jiān】🤟的增加📳，该【gāi】🍬文件【wén jiàn】的📖大小也会越🐦来【lái】越大🏔，增加的速度取♋ 决于系统用【yòng】😱户登录【hù dēng lù】🤤的次数【de cì shù】🔫。该日志【gāi rì zhì】👸文【wén】🔼件【jiàn】🈸可以用【kě yǐ yòng】来【lái】🚋查看用【yòng】😱户的【hù de】😬登录【dēng lù】🎻记录【jì lù】📦，last命令就【mìng lìng jiù】通过访问这个文【zhè gè wén】件【jiàn】🤺获得这【huò dé zhè】些【xiē】🛹信🥑息【xī】，并以反序从后【xù cóng hòu】🎱向前显示用【xiǎn shì yòng】户【hù】🕕的登录【de dēng lù】🎻记😩 录【lù】🎻，last也能根📦据用【jù yòng】😱户【hù】🥫、终端📮 tty或时间【huò shí jiān】🤟显示相【xiǎn shì xiàng】应的记🎄录【lù】🎻。

　　命令last有两个可选参【kě xuǎn cān】🛒数：

　　last -u 用【yòng】😱户【hù】🥫名 显示用【xiǎn shì yòng】户【hù】🕕上次登录【dēng lù】🎻的情况【de qíng kuàng】🍆。

　　last -t 天数 显示指【xiǎn shì zhǐ】定天数之前的【zhī qián de】📠用【yòng】😱户登录【hù dēng lù】🤤情况🍆。

　　/var/run/utmp

　　该日志【gāi rì zhì】👸文件【wén jiàn】记🐾录【lù】🎻有关当前登【qián dēng】🈷录【lù】🎻的每个用【yòng】😱户的【hù de】😬信🥑息【xī】。因此这个文【zhè gè wén】件【jiàn】🤺会随着用【yòng】😱户登录【hù dēng lù】🤤和【hé】🍻注销系【zhù xiāo xì】统而不断变化【duàn biàn huà】，它只保【tā zhī bǎo】留当时联机的用【yòng】😱户【hù】🥫记录【jì lù】📦，不会为🐯用户【yòng hù】保♒ 留永久的记录【jì lù】📦。系统中【zhōng】🍧需要查🍏询【xún】当前用【yòng】😱户【hù】🥫状态的程序【chéng xù】🔘，如【rú】 who、w、users、finger等就需【děng jiù xū】要访问这个文【zhè gè wén】件【jiàn】🤺。该日志【gāi rì zhì】👸文件【wén jiàn】并👆不能包括所有🥣精确的信🥑 息【xī】，因为某🏞些突发【xiē tū fā】错误会终止用【yòng】🌝户登录【hù dēng lù】🤤会话【huì huà】📵，而系统【ér xì tǒng】👚没有及时更新 utmp记录【jì lù】📦，因此该日志【gāi rì zhì】👸文件【wén jiàn】的📖记录【jì lù】📦不是百【bú shì bǎi】分之🔰百值得【bǎi zhí dé】信赖的🐭。

　　以上提【yǐ shàng tí】及的3个文件【wén jiàn】🤺（/var/log/wtmp、/var/run/utmp、/var/log/lastlog）是日志🌰子系统的关键【de guān jiàn】文【wén】🔼 件【jiàn】🈸，都记录【jì lù】📦了【le】用户【yòng hù】🍞登录【dēng lù】🎻的情况【de qíng kuàng】🍆。这些文【zhè xiē wén】件【jiàn】🚣的所有记录【jì lù】📦都包含【dōu bāo hán】了时间【le shí jiān】🤟戳🌁。这些文【zhè xiē wén】件【jiàn】🚣是按二进制保【jìn zhì bǎo】存的🎳，故不能😋用【yòng】😱less、cat之类的命令直接查看🤴这些文【zhè xiē wén】件【jiàn】🚣，而是 需要使用【shǐ yòng】😱相关命令通过这些文【zhè xiē wén】件【jiàn】🚣而查看。其中【qí zhōng】🍧，utmp和【hé】🍻wtmp文件【wén jiàn】的📖数据结【shù jù jié】🌍构是一🧓样的，而lastlog文【wén】🔼件【jiàn】🈸则使用【zé shǐ yòng】😱另外的数据结【shù jù jié】🌍构，关于它👥们的具🎴体的数 据结构可以使用【shǐ yòng】😱man命令查【mìng lìng chá】询【xún】。

　　每次有【měi cì yǒu】一个用【yòng】🖍户登录【hù dēng lù】🤤时，login程序【chéng xù】🔘在【zài】🥘文【wén】🔼件【jiàn】🈸lastlog中【zhōng】🍧查看用【yòng】😱户的【hù de】😬UID。如果存【rú guǒ cún】在【zài】🥘，则把用【yòng】🖱户【hù】上次🏬登录【dēng lù】🎻、注销时间【shí jiān】和【hé】主🏐机名写到标准🏞输出 中【zhōng】🍧，然后login程序【chéng xù】🔘在【zài】🥘lastlog中【zhōng】🍧记录【jì lù】📦新的登【xīn de dēng】录【lù】🎻时间【shí jiān】🤟，打开utmp文件【wén jiàn】并👆插入用【yòng】😱户的【hù de】😬utmp记录【jì lù】📦。该【gāi】🍬记录【jì lù】📦一直用【yòng】🧔到用【yòng】😱户登录【hù dēng lù】🤤退出时【tuì chū shí】删🌫除。utmp文【wén】🔼 件【jiàn】🈸被各种【bèi gè zhǒng】命令🏇使用【shǐ yòng】😱，包括who、w、users和【hé】🍻finger。

　　下一🧓步，login程序【chéng xù】🔘打开文【wén】🔼件【jiàn】🈸wtmp附加用【yòng】😱户的【hù de】😬utmp记录【jì lù】📦。当用【yòng】😱户登录【hù dēng lù】🤤退出时【tuì chū shí】🥖，具有更🦐新时间【xīn shí jiān】🤟戳🌁的同一【de tóng yī】🧓utmp记录【jì lù】附🚺加到文【jiā dào wén】🔼件【jiàn】🈸中【zhōng】🍧。wtmp文【wén】🔼件【jiàn】🈸被程序【bèi chéng xù】🔘last使用【shǐ yòng】😱。

　　/var/log/xferlog

　　该日志【gāi rì zhì】👸文件【wén jiàn】记🐾录【lù】🎻FTP会话【huì huà】📵，可以显示出用【yòng】😱户【hù】🥫向FTP服务器【wù qì】🛹或从服【huò cóng fú】务器【wù qì】🛹拷贝了【le】什🈯么文【wén】🔼件【jiàn】🈸。该【gāi】🍬文【wén】🔼件【jiàn】🈸会显示用【xiǎn shì yòng】户【hù】🕕拷贝到服务器【wù qì】🛹上的用【shàng de yòng】来【lái】🆙入侵服务器【wù qì】🛹的恶意程序【chéng xù】🔘，以及该【gāi】🍬用【yòng】😱户【hù】🥫拷贝了【le】哪些文【nǎ xiē wén】件【jiàn】🚣供他使【gòng tā shǐ】😿用【yòng】😱。

　　该【gāi】🍬文件【wén jiàn】的📖格式🐉为：第一个🏣域是日【yù shì rì】期和【qī hé】🍻时间【shí jiān】🤟，第二个域是下载文【wén】🔼件【jiàn】🈸所花费的秒数【de miǎo shù】、远程系统名称、文【wén】🔼件【jiàn】🈸大小、本地路【běn dì lù】❌径名【jìng míng】、传输类📓型 （a：ASCII，b：二进制）、与压缩相关的【xiàng guān de】标志或tar，或"_"（如【rú】果没有压缩的话【de huà】🐝）、传输方🕓向（相对于服务器【wù qì】🛹而言✋：i代表进🏘，o代表出【dài biǎo chū】）、访问模【fǎng wèn mó】 式🐉（a：匿名，g：输入口【shū rù kǒu】令，r：真实用【yòng】😱户【hù】🥫）、用【yòng】😱户【hù】🥫名、服务名（通常是🏁ftp）、认证方【rèn zhèng fāng】法😏（l：RFC931，或0），认证用【rèn zhèng yòng】🛃户的【hù de】😬ID或"*"。下面是该【gāi】🍬 文件【wén jiàn】的📖一🧓条记录【jì lù】📦：


引用【yòng】🌴：

Wed Sep 4