FreeBSD的系統log日志
2024-07-26 00:29:18
供稿:網友
由于FreeBSD是一個多用戶系統��,那么就需要管理員進行日常維護����,特別是用做網絡
服務器的系統��,一旦因為缺乏維護而造成停機故障�����,就會造成很大損失。即使對于單用
戶的FreeBSD系統���,同樣也要執行這些不可缺乏的維護任務�����,只是由于系統歸個人使用����,
那么對維護的要求就不必那么高�,維護任務就輕松一些。
系統日志
系統的日志記錄提供了對系統活動的詳細審計���,這些日志用于評估�、審查系統的運
行環境和各種操作��。對于一般情況�����,日志記錄包括記錄用戶登錄時間����、登錄地點、進行
什么操作等內容����,如果使用得當,日志記錄能向系統管理員提供有關危害安全的侵害或
入侵試圖等非常有用的信息���。
BSD提供了詳細的各種日志記錄���,以及有關日志的大量工具和實用程序。這些審計記
錄通常由程序自動產生�,是缺省設置的一部分,能夠幫助Unix管理員來尋找系統中存在
的問題���,對系統維護十分有用�����。還有另一些日志記錄�,需要管理員進行設置才能生效��。
大部分日志記錄文件被保存在/var/log目錄中�����,在這個目錄中除了保存系統生成日志之
外,還包括一些應用軟件的日志文件���。當然/var目錄下的其他子目錄中也會記錄下一些
其他種類的日志記錄文件�����,這依賴于具體的應用程序的設置���。
$ ls /var/log
adduser maillog.5.gz sendmail.st.1
dmesg.today maillog.6.gz sendmail.st.10
dmesg.yesterday maillog.7.gz sendmail.st.2
httpd-access.log messages sendmail.st.3
httpd-error.log messages.0.gz sendmail.st.4
kerberos.log messages.1.gz sendmail.st.5
lastlog messages.2.gz sendmail.st.6
lpd-errs messages.3.gz sendmail.st.7
maillog messages.4.gz sendmail.st.8
maillog.0.gz messages.5.gz sendmail.st.9
maillog.1.gz news setuid.today
maillog.2.gz ppp.log setuid.yesterday
maillog.3.gz sendmail.st userlog
maillog.4.gz sendmail.st.0 wtmp
系統登錄日志
系統會保存每個用戶的登錄記錄,這些信息包括這個用戶的名字�����、登錄起始結束時
間以及從何處登錄入系統的等等�。它們被保存到/var/log/lastlog、/var/log/wtmp和/
var/run/utmp文件中���,這三個文件以二進制格式保存了這些用戶的登錄數據����。
其中/var/run/utmp文件中保存的是當前系統用戶的登錄記錄��,因此這個文件會隨著
用戶進入和離開系統而不斷變化��,而它也不會為用戶保留很長的記錄�,只保留當時聯機
的用戶記錄。系統中需要查詢當前用戶狀態的程序�,如 who、w等就需要訪問這個文件����。
utmp可能不包括所有精確的信息,某些突發錯誤會終止用戶登錄會話�����,當沒有及時更新
utmp記錄�����,因此utmp的記錄不是百分之百的可以信賴的��。
而/var/log/wtmp保存了所有的登錄��、退出信息���,以及系統的啟動�、停機記錄��,因此
隨著系統正常運行時間的增加,它的大小也會越來越大�����,增加的速度依賴于系統用戶登
錄次數��。因此可以利用這個日志用來查看用戶的登錄記錄����,last命令就通過訪問這個文
件來獲得這些信息,并以反序從后向前顯示用戶的登錄記錄���,last也能根據用戶��、終端
tty或時間顯示相應的記錄����。ac命令同樣也使用wtmp中的數據產生報告��,但它的顯示方
式不同�����。它可以根據用戶(ac -p),或按日期(ap -d)顯示信息����,這樣管理員就能獲
得一些非常有用的反常信息,如一個平時不太活躍的用戶突然登錄并連接很長時間��,就
有理由懷疑這個帳戶被竊取了���。
注意:X Window由于會同時打開多個終端窗口,因此會使得用戶登錄連接時間迅速
增加��。
lastlog文件保存的是每個用戶的最后一次登錄信息���,包括登錄時間和地點��,這個文
件一般只有login程序使用�����,通過用戶的UID�,來在lastlog文件中查找相應記錄���,然后報
告其最后一次登錄時間和終端tty�����。然后�, login程序就使用新的記錄更新這個文件。
這三個文件是使用二進制格式保存的���,因此不能直接查看其中的內容����,而需要使用
相關命令�。當然也可以通過程序來訪問這三個文件,這就需要了解它們使用的數據結構
����。其中utmp和wtmp使用同樣的數據結構,而lastlog使用另外一個數據結構��,可使用man
來進行查詢具體結構��。如果系統的用戶數量很多���,那么wtmp文件的大小會迅速增加�,在
系統/var文件系統空間緊張的情況下�,就導致這個文件系統被占滿�����。系統不會主動控制
這個文件的大小����,因此這需要管理員的干預���,需要手工及時清除,或編寫shell腳本定期
保存和清除�����。
系統還可以提供記賬統計的功能����,要打開系統的計賬功能,需要使用accton命令����,
注意,accton必須跟隨記賬日志文件的名字作參數����,而不帶參數的accton將關閉記賬進
程。
當打開了記賬功能后,可以使用lastcomm來檢查在系統中執行的所有命令的信息��,
包括執行的命令����、執行命令的用戶、用戶使用的終端tty���,命令完成的時間���,執行時間等
。從lastcomm的輸出也能幫助管理員檢查可能的入侵行為�����。
此外可以使用ac命令來查詢用戶的連接時間的報告���,sa命令來查詢用戶消耗的處理
器時間的報告�����。
Syslog日志記錄
最初���,syslog只是為了sendmail而設計的消息日志工具���,由于它提供了一個中心控
制點,使得sys log非常好用和易配置�,因此當今很多程序都使用syslog來發送它們的記
錄信息。syslog是一種強大的日志記錄方式��,不但可以將日志保存在本地文件中����,還可
以根據設置將syslog記錄發送到網絡上的另一臺主機中。
支持syslog方式的系統啟動了syslogd守護進程���,這個程序從本地的Unix套接字和監
聽在514端口(UDP)上的Internet套接字��,來獲得syslog的記錄。本機中進程使用sysl
og系統調用發送來sy slog記錄��,然后由syslogd將他們保存到正確的文件或發送到網絡
上另一臺運行syslogd主機中去��。
syslogd的設置文件為/etc/syslog.conf����,定義消息對應的相應目標,一條消息可以
達到多個目標�,也可能被忽略���。
# $Id: syslog.conf,v 1.9 1998/10/14 21:59:55 nate Exp $
#
# Spaces are NOT valid field separators in this file.
# Consult the syslog.conf(5) manpage.
*.err;kern.debug;auth.notice;mail.crit /dev/console
*.notice;kern.debug;lPR.info;mail.crit;news.err /var/log/messages
mail.info /var/log/maillog
lpr.info /var/log/lpd-errs
cron.* /var/cron/log
*.err root
*.notice;news.err root
*.alert root
*.emerg *
!ppp
*.* /var/log/ppp.log
syslog.conf的配置可以分為兩個部分,第一部分用于區分消息的類型���,另一個用于
設置消息發送的目的地����。通常��,消息的類型包括消息的產生者����,例如kern表示內核產生
的消息,auth表示認證系統產生的消息��,等等�,還包括消息的級別,例如emerg表示非常
重要的緊急信息�����,alert表示系統告警狀態���,crit表示關鍵狀態���,err 表示一般的錯誤信
息����,warning表示警告信息�,notice表示提示信息,但還不是錯誤���,info表示一般信息�,
debug表示調試信息等�����,因此一個消息的類型可能為:kern.debug�、mail.info等,但頁
可以使用通配符*進行匹配����。
從上面的syslog.conf的設置可以看出���,系統正常運行中的很多重要的信息���,如錯誤
信息*.err��、內核調試信息kern.debuf���、認證報告auth.notice等被直接輸出的console中
,另外還有一些比較重要的信息被輸出到/var/log/messages文件中���,發送郵件的記錄將
被保存在/var/log/mail log文件中���,打印記錄為/var/log/lpd-errs等,使得管理員可
以根據這些文件來查詢相關記錄�,進行統計或尋找系統問題。其中使用syslog記錄的me
ssages文件中包括root登錄的信息���、用戶多次登錄失敗的嘗試等對系統安全相當重要的
信息��,因此也是系統遭受攻擊之后���,攻擊者會根據syslog.conf中設置試圖清除相關文件
中自己的登錄記錄。因此對于安全性要求更高的系統�,可以嘗試將syslog發送到另一臺
計算機上,或者輸出到一些設備文件中�����,如在打印機上立即打印輸出。
系統會使用newsyslog定期檢查syslog輸出的messages文件和maillog文件�����,將舊數
據壓縮保存為備份文件���,如messages.1.gz等����。
其他日志
除了系統登錄記錄和syslog記錄之外���,其他還有一些應用程序使用自己的記錄方式
���。
系統每天都會自動檢查系統的安全設置,包括對SetUID��、SetGID的執行文件的檢查
��,其結果將輸出到/ var/log/security.today文件中�����,管理員可以與/var/log/securit
y.yeste rday文件對比����,尋找系統安全設置的變化。
如果系統使用sendmail�����,那么sendmail.st文件中以二進制形式保存了sendmail的統
計信息���。
在系統啟動的時候���,就將內核的檢測信息輸出到屏幕上,這些信息可以幫助用戶分
析系統中的硬件狀態���。一般使用d mesg命令來查看最后一次啟動時輸出的這個檢測信息
�����。這個信息也被系統保存在/var/log/dmesg.tod ay文件中���,系統中同時也存在另一個文
件dmesg.yesterday,是上次的啟動檢測信息���,對比這兩個文件����,就可以了解到系統硬件
和內核配置的變化。
lpd-errs記錄了系統中lpd產生的錯誤信息�。
此外,各種shell還會記錄用戶使用的命令歷史�,它使用用戶主目錄下的文件來記錄
這些命令歷史,通常這個文件的名字為.history(csh)�����,或.bash-history等�。
