Centos系統各種日誌儲存路徑和詳細介紹

Linux常見的記錄檔詳述如下
1、/var/log/boot.log（自檢過程）
2、/var/log/cron （crontab守護進程crond所派生的子進程的動作）
3、/var/log/maillog （發送到系統或從系統發出的電子郵件的活動）
4、/var/log/syslog （它只記錄警告資訊，常常是系統出問題的資訊，所以更應該關注該檔案）

5、/usr/local/apache/logs/error_log（它是記錄apache的日誌目錄)

6、/var/log/httpd/error_log（它是記錄http的日誌目錄)

要讓系統產生syslog記錄檔，
在/etc/syslog.conf檔案中加上：*.warning /var/log/syslog 　　
該記錄檔能記錄當使用者登入時login記錄下的錯誤口令、Sendmail的問題、su命令執行失敗等資訊
5、/var/run/utmp
該記錄檔需要使用lastlog命令查看
6、/var/log/wtmp
（該記錄檔永久記錄每個使用者登入、登出及系統的啟動、停機的事件）
last命令就通過訪問這個檔案獲得這些資訊
7、/var/run/utmp
（該記錄檔記錄有關當前登入的每個使用者的資訊）
8、/var/log/xferlog
（該記錄檔記錄FTP會話，可以顯示出使用者向FTP伺服器或從伺服器拷貝了什麼檔案）

Linux日誌分析詳細部分
日誌也是使用者應該注意的地方之一。不要低估記錄檔對網路安全的重要作用，因為記錄檔能夠詳細記錄系統每天發生的各種各樣的事件。使用者可以通過記錄檔檢查錯誤產生的原因，或者在受到攻擊和駭客入侵時追蹤攻擊者的蹤跡。日誌的兩個比較重要的作用是：審核和監測。配置好的Linux的日誌非常強大。對於Linux系統而言，所有的記錄檔都在/var/log下。預設情況下，Linux的記錄檔已經足夠強大，但沒有記錄FTP的活動。使用者可以通過修改/etc/ftpacess讓系統記錄FTP的一切活動。
Linux日誌系統簡介
　　Linux日誌系統
　　日誌對於系統的安全來說非常重要，它記錄了系統每天發生的各種各樣的事情，使用者可以通過它來檢查錯誤發生的原因，或者尋找受到攻擊時攻擊者留下的痕迹。日誌主要的功能是審計和監測。它還可以即時地監測系統狀態，監測和追蹤侵入者。
　　Linux系統一般有3個主要的日誌子系統：連線時間日誌、進程統計日誌和錯誤記錄檔。
　　連線時間日誌
　　連線時間日誌由多個程式執行，把記錄寫入到/var/og/wtmp和/var/run/utmp。ogin等程式更新wtmp和utmp檔案，使系統管理員能夠跟蹤誰在何時登入到系統。
　　進程統計日誌
　　進程統計日誌由系統核心執行。當一個進程終止時，為每個進程往進程統計檔案（pacct或acct）中寫一個記錄。進程統計的目的是為系統中的基本服務提供命令使用統計。
　　錯誤記錄檔
　　錯誤記錄檔由sysogd(8)執行。各種系統守護進程、使用者程式和核心通過sysog(3)向檔案/var/og/messages報告值得注意的事件。另外還有許多UNIX類程式建立日誌，像HTTP和FTP這樣提供網路服務的伺服器也有詳細的日誌。
RedHat Linux常見的記錄檔和常用命令
成功地管理任何系統的關鍵之一，是要知道系統中正在發生什麼事。Linux 中提供了異常日誌，並且日誌的細節是可配置的。Linux 日誌都以明文形式儲存，所以使用者不需要特殊的工具就可以搜尋和閱讀它們。還可以編寫指令碼，來掃描這些日誌，並基於它們的內容去自動執行某些功能。Linux 日誌儲存在 /var/log 目錄中。這裡有幾個由系統維護的記錄檔，但其他服務和程式也可能會把它們的日誌放在這裡。大多數日誌只有root賬戶才可以讀，不過修改檔案的存取權限就可以讓其他人可讀。
　　RedHat Linux常用的記錄檔
　　RedHat Linux常見的記錄檔詳述如下
　　/var/log/boot.log
　　該檔案記錄了系統在引導過程中發生的事件，就是Linux系統開機自我測試 (POST)過程顯示的資訊。
　　/var/log/cron
　　該記錄檔記錄crontab守護進程crond所派生的子進程的動作，前面加上使用者、登入時間和PID，以及派生出的進程的動作。CMD的一個動作是cron派生出一個調度進程的常見情況。REPLACE（替換）動作記錄使用者對它的cron檔案的更新，該檔案列出了要周期性執行的任務調度。RELOAD動作在REPLACE動作後不久發生，這意味著cron注意到一個使用者的cron檔案被更新而cron需要把它重新裝入記憶體。該檔案可能會查到一些反常的情況。
　　/var/log/maillog
　　該記錄檔記錄了每一個發送到系統或從系統發出的電子郵件的活動。它可以用來查看使用者使用哪個系統發送工具或把資料發送到哪個系統。下面是該記錄檔的片段：

Sep 4 17:23:52 UNIX sendmail[1950]: g849Npp01950: from=root, size=25,, nrcpts=1, msgid=<200209040923.g849Npp01950@redhat.pfcc.com.cn>,relay=root@localhostSep　　該記錄檔是許多進程記錄檔的匯總，從該檔案可以看出任何入侵企圖或成功的入侵。如以下幾行：
Sep 3 08:30:17 UNIX login[1275]: FAILED LOGIN 2 FROM (null) FOR suying, Authentication failureSep 4 17:40:28 UNIX — suying[2017]: LOGIN ON pts/1 BY suying FROMfcceec.www.ec8.pfcc.com.cnSep4 17:40:39 UNIX su(pam_unix)[2048]: session opened for user root by suying(uid=999)
　　該檔案的格式是每一行包含日期、主機名稱、程式名，後面是包含PID或核心標識的方括弧、一個冒號和一個空格，最後是訊息。該檔案有一個不足，就是被記錄的入侵企圖和成功的入侵事件，被淹沒在大量的正常進程的記錄中。但該檔案可以由/etc/syslog檔案進行定製。由/etc/syslog.conf設定檔決定系統如何寫入/var/messages。有關如何配置/etc/syslog.conf檔案決定系統日誌記錄的行為，將在後面詳細敘述。
　　/var/log/syslog
　　預設RedHat Linux不產生該記錄檔，但可以配置/etc/syslog.conf讓系統產生該記錄檔。它和/etc/log/messages記錄檔不同，它只記錄警告資訊，常常是系統出問題的資訊，所以更應該關注該檔案。要讓系統產生該記錄檔，在/etc/syslog.conf檔案中加上：*.warning /var/log/syslog 　　該記錄檔能記錄當使用者登入時login記錄下的錯誤口令、Sendmail的問題、su命令執行失敗等資訊。下面是一條記錄：

Sep 6 16:47:52 UNIX login(pam_unix)[2384]: check pass; user unknown/var/log/secure該記錄檔記錄與安全相關的資訊。該記錄檔的部分內容如下：Sep 4 16:05:09 UNIX xinetd[711]: START: ftp pid=1815 from=127.0.0.1Sep 4 16:05:09 UNIX xinetd[1815]: USERID: ftp OTHER :rootSep 4 16:07:24 UNIX xinetd[711]: EXIT: ftp pid=1815 duration=135(sec)Sep 4 16:10:05 UNIX xinetd[711]: START: ftp pid=1846 from=127.0.0.1Sep 4 16:10:05 UNIX xinetd[1846]: USERID: ftp OTHER :rootSep 4 16:16:26 UNIX xinetd[711]: EXIT: ftp pid=1846 duration=381(sec)Sep 4 17:40:20 UNIX xinetd[711]: START: telnet pid=2016 from=10.152.8.2/var/log/lastlog
　　該記錄檔記錄最近成功登入的事件和最後一次不成功的登入事件，由login產生。在每次使用者登入時被查詢，該檔案是二進位檔案，需要使用lastlog命令查看，根據UID排序顯示登入名稱、連接埠號碼和上次登入時間。如果某使用者從來沒有登入過，就顯示為”**Never logged in**”。該命令只能以root許可權執行。簡單地輸入lastlog命令後就會看到類似如下的資訊：
Username Port From Latestroot tty2 Tue Sep 3 08:32:27 +0800 2002bin **Never logged in**daemon **Never logged in**adm **Never logged in**lp **Never logged in**sync **Never logged in**shutdown **Never logged in**halt **Never logged in**mail **Never logged in**news **Never logged in**uucp **Never logged in**operator **Never logged in**games **Never logged in**gopher **Never logged in**ftp ftp UNIX Tue Sep 3 14:49:04 +0800 2002nobody **Never logged in**nscd **Never logged in**mailnull **Never logged in**ident **Never logged in**rpc **Never logged in**rpcuser **Never logged in**xfs **Never logged in**gdm **Never logged in**postgres **Never logged in**apache **Never logged in**lzy tty2 Mon Jul 15 08:50:37 +0800 2002suying tty2 Tue Sep 3 08:31:17 +0800 2002
　　系統賬戶諸如bin、daemon、adm、uucp、mail等決不應該登入，如果發現這些賬戶已經登入，就說明系統可能已經被入侵了。若發現記錄的時間不是使用者上次登入的時間，則說明該使用者的賬戶已經泄密了。
　　/var/log/wtmp
　　該記錄檔永久記錄每個使用者登入、登出及系統的啟動、停機的事件。因此隨著系統正常已耗用時間的增加，該檔案的大小也會越來越大，增加的速度取決於系統使用者登入的次數。該記錄檔可以用來查看使用者的登入記錄，last命令就通過訪問這個檔案獲得這些資訊，並以反序從後向前顯示使用者的登入記錄，last也能根據使用者、終端 tty或時間顯示相應的記錄。
　　命令last有兩個選擇性參數：
　　last -u 使用者名稱 顯示使用者上次登入的情況。
　　last -t 天數 顯示指定天數之前的使用者登入情況。
　　/var/run/utmp
　　該記錄檔記錄有關當前登入的每個使用者的資訊。因此這個檔案會隨著使用者登入和登出系統而不斷變化，它只保留當時聯機的使用者記錄，不會為使用者保留永久的記錄。系統中需要查詢目前使用者狀態的程式，如 who、w、users、finger等就需要訪問這個檔案。該記錄檔並不能包括所有精確的資訊，因為某些突發錯誤會終止使用者登入工作階段，而系統沒有及時更新 utmp記錄，因此該記錄檔的記錄不是百分之百值得信賴的。
　　以上提及的3個檔案（/var/log/wtmp、/var/run/utmp、/var/log/lastlog）是日誌子系統的關鍵檔案，都記錄了使用者登入的情況。這些檔案的所有記錄都包含了時間戳記。這些檔案是按二進位儲存的，故不能用less、cat之類的命令直接查看這些檔案，而是需要使用相關命令通過這些檔案而查看。其中，utmp和wtmp檔案的資料結構是一樣的，而lastlog檔案則使用另外的資料結構，關於它們的具體的資料結構可以使用man命令查詢。
　　每次有一個使用者登入時，login程式在檔案lastlog中查看使用者的UID。如果存在，則把使用者上次登入、登出時間和主機名稱寫到標準輸出中，然後login程式在lastlog中記錄新的登入時間，開啟utmp檔案並插入使用者的utmp記錄。該記錄一直用到使用者登入退出時刪除。utmp檔案被各種命令使用，包括who、w、users和finger。
　　下一步，login程式開啟檔案wtmp附加使用者的utmp記錄。當使用者登入退出時，具有更新時間戳記的同一utmp記錄附加到檔案中。wtmp檔案被程式last使用。
　　/var/log/xferlog
　　該記錄檔記錄FTP會話，可以顯示出使用者向FTP伺服器或從伺服器拷貝了什麼檔案。該檔案會顯示使用者拷貝到伺服器上的用來入侵伺服器的惡意程式，以及該使用者拷貝了哪些檔案供他使用。
　　該檔案的格式為：第一個域是日期和時間，第二個域是下載檔案所花費的秒數、遠程系統名稱、檔案大小、本地路徑名、傳輸類型（a：ASCII，b：二進位）、與壓縮相關的標誌或tar，或”_”（如果沒有壓縮的話）、傳輸方向（相對於伺服器而言：i代表進，o代表出）、訪問模式（a：匿名，g：輸入口令，r：真實使用者）、使用者名稱、服務名（通常是ftp）、認證方法（l：RFC931，或0），認證使用者的ID或”*”。下面是該檔案的一條記錄：
Wed Sep 4 08:14:03 2002 1 UNIX 275531 /var/ftp/lib/libnss_files-2.2.2.so b _ o a -root@UNIX ftp 0 * c/var/log/kernlog 4 17:23:55 UNIX sendmail[1950]: g849Npp01950: to=lzy@fcceec.net, ctladdr=root (0/0), delay=00:00:04, xdelay=00:00:03, mailer=esmtp, pri=30025, relay=fcceec.net. [10.152.8.2], dsn=2.0.0, stat=Sent (Message queued)/var/log/messages