Linux 操作系统日志管理全攻略(6) *.emerg @linuxaid.com.cn alert消息应该写到root和tiger的个人账号中: #Root and Tiger get alert and higher messages *.alert root,tiger 有时syslogd将产生大量的消息。例如内核("kern"设备)可能很冗长。用户可能想把内核消息纪录到/dev/console中。下面的例子表明内核日志纪录被注释掉了: #Log all kernel messages to the console #Logging much else clutters up the screen #kern.* /dev/console 用户可以在一行中指明所有的设备。下面的例子把info或更高级别的消息送到/var/log/messages,除了mail以外。级别"none"禁止一个设备: #Log anything(except mail)of level info or higher #Don't log private authentication messages! *.info:mail.none;autHPriv.none /var/log/messages 在有些情况下,可以把日志送到打印机,这样网络入侵者怎么修改日志都没有用了。通常要广泛纪录日志。Syslog设备是一个攻击者的显著目标。一个为其他主机维护日志的系统对于防范服务器攻击特别脆弱,因此要特别注意。 有个小命令logger为syslog(3)系统日志文件提供一个shell命令接口,使用户能创建日志文件中的条目。用法:logger 例如:logger This is a test! 它将产生一个如下的syslog纪录:Aug 19 22:22:34 tiger: This is a test! 注意不要完全相信日志,因为攻击者很容易修改它的。 程序日志 许多程序通过维护日志来反映系统的安全状态。su命令允许用户获得另一个用户的权限,所以它的安全很重要,它的文件为sulog.同样的还有sudolog.另外,想Apache有两个日志:access_log和error_log. 其他日志工具 chklastlog ftp://coast.cs.purdue.edu/pub/tools/unix/chklastlog/ chkwtmp ftp://coast.cs.purdue.edu/pub/tools/unix/chkwtmp/ dump_lastlog ftp://coast.cs.purdue.edu/pub/tools/unix/dump_lastlog.Z spar ftp://coast.cs.purdue.edu/pub/tools/unix/TAMU/ Swatch http://www.lomar.org/komar/alek/pres/swatch/cover.html Zap ftp://caost.cs.purdue.edu/pub/tools/unix/zap.tar.gz
