日志对于系统的安全来说非常重要,它记录了系统每天发生的各种各样的事情,用户可以通过它来检查错误发生的原因,或者寻找受攻击时攻击者留下的痕迹。日志的主要功能就是审计和检测。它还可以实时地检测系统的状态、检测和追踪侵入者。
通常日志根据类型可以分为连接时间日志、进程统计日志和错误日志。连接时间日志由多个程序执行,它把记录写到/var/log/wtmp和/var/run/utmp当中,而login程序负责更新wtmp和utmp文件,使得系统管理员能够够跟踪谁在何时登录了系统。对于进程统计日志由内核执行,当一个进程终止时,每个进程都会向统计文件pacct或者acct中写入一个记录。进程统计的目的是为了系统中的基本服务提供命令使用统计。对于错误日志,它由syslog来执行,各种系统守护进程、用户程序和内核通过syslog向文件/var/log/messages报告值得注意的时间。
其中/var/log/boot.log记录了系统在引导的过程中发生的事件,就是Linux系统开机自检过程显示的信息。
而/var/log/cron记录了crontab守护进程crond所派生的子进程的动作,前面加上用户、登录时间和pid,以及派生出来的进程的动作。
其中/var/log/maillog记录了每一个发送到系统或者从系统发出的电子邮件的活动,它可以用来查看用户使用哪个系统发送工具或者把数据发送到哪个系统。
其中/var/log/syslog默认是不生成的,我们可以配置/etc/syslog.conf中加上"*.warning /var/log/syslog"那么该日志是记录当时用户登录时login记录下的错误口令、sendmail的问题、su执行失败等信息。
其中/var/log/wtmp是永久记录登录每个用户登录、注销以及系统的启动、停机的事件。因此随着系统正常运行时间的增加,该文件也会越来越大,增加的速度取决于用户登录的次数。该日志文件可以用来查看用户的登录记录、last命令就通过访问这个文件来获取这些信息,并且用反序的方式从后向前显示用户的登录记录,last也能够够根据用户、终端tty或者时间显示相应的记录。
其中/var/run/utmp记录有关当前登录的每个用户的信息,因此这个文件随着用户登录和注销系统而不断变化,它只保留当前联机的用户记录,不会为用户保留永久的记录。系统中我们可以使用who、w、users、finger等访问这个文件。该日志并不能包含所有精确的信息,因为某些突发错误会终止用户登录会话,而系统没有及时更新utmp记录,因此该日志的记录不是百分百值得信赖的。