1、第7章 Linux系統(tǒng)日志,日志記錄了系統(tǒng)每天發(fā)生的各種各樣的事件，對(duì)于解決計(jì)算機(jī)系統(tǒng)的故障和保證系統(tǒng)的安全來(lái)說(shuō)非常重要。用戶可以通過(guò)日志來(lái)了解系統(tǒng)運(yùn)行的狀態(tài)，檢查各種錯(cuò)誤發(fā)生的原因，或者尋找攻擊者留下的痕跡。下面介紹一下Linux操作系統(tǒng)中有關(guān)日志的情況，包括日志類(lèi)型、日志管理、日志監(jiān)測(cè)和分析等內(nèi)容。,7.1 Linux系統(tǒng)日志基礎(chǔ),Linux系統(tǒng)包含了很多與日志有關(guān)的軟件包，通過(guò)這些軟件包可以對(duì)日志進(jìn)行記錄、管理、分析、監(jiān)測(cè)等操作。其中，最基本的系統(tǒng)日志功能是由sysklogd軟件包實(shí)現(xiàn)的，它記錄了內(nèi)核和Linux系統(tǒng)最關(guān)鍵的日志。下面介紹一下有關(guān)sysklogd的運(yùn)行、配置和日志的查看等

2、內(nèi)容。,7.1.1 Linux系統(tǒng)日志進(jìn)程的運(yùn)行,日志是保障Linux系統(tǒng)安全的重要手段，通過(guò)審計(jì)和監(jiān)測(cè)系統(tǒng)日志可以及時(shí)發(fā)現(xiàn)系統(tǒng)故障，檢測(cè)和追蹤入侵，并為系統(tǒng)出錯(cuò)時(shí)能恢復(fù)正常工作提供重要的幫助。RHEL 5發(fā)行版包含了兩種系統(tǒng)日志功能，一種是syslog，用于記錄常規(guī)的日志，還有一種是klog，用于記錄內(nèi)核活動(dòng)信息。,7.1.2 Linux系統(tǒng)日志配置,日志進(jìn)程syslogd的配置文件是/etc/syslog.conf，它的內(nèi)容決定了系統(tǒng)日志記錄哪些內(nèi)容、采取什么動(dòng)作等等。syslog.conf是典型的Unix配置格式，每行包含一項(xiàng)配置內(nèi)容，“#”是注釋符，其后的字符將被忽略，空行和空格也被忽

3、略。,7.1.3 查看Linux系統(tǒng)日志,從初始的系統(tǒng)日志配置可以看到，默認(rèn)情況下，Linux的日志文件都存放在/var/log目錄，這些日志文件的文件主用戶基本上都是root，而且大部分的日志其它用戶是不能查看的。,7.2 Linux日志高級(jí)專(zhuān)題,上一節(jié)介紹了記錄系統(tǒng)日志的方法，為了更有效地對(duì)這些日志進(jìn)行管理，還需要其它一些工具。為了防止日志文件占用過(guò)多的磁盤(pán)空間，需要定時(shí)對(duì)其進(jìn)行刪除，這可以由日志的轉(zhuǎn)儲(chǔ)功能來(lái)實(shí)現(xiàn)。此外，有些日志內(nèi)容不是文本格式，需要通過(guò)特定的命令才能顯示出來(lái)。還有，通過(guò)記錄某些日志信息還可以實(shí)現(xiàn)對(duì)用戶和進(jìn)程進(jìn)行記帳的功能。,7.2.1 日志的轉(zhuǎn)儲(chǔ),為了減輕系統(tǒng)管理員的負(fù)擔(dān)

4、，Linux系統(tǒng)提供了一種日志轉(zhuǎn)儲(chǔ)的功能。假設(shè)一個(gè)日志文件的名字是log，利用日志轉(zhuǎn)儲(chǔ)功能，可以在某一時(shí)刻，自動(dòng)將其改名為log.1，而原來(lái)的log文件清空后繼續(xù)使用。再到了某一時(shí)刻，log.1將命名為log.2，log命名為log.1，log再清空后繼續(xù)。依次類(lèi)推，最終結(jié)果是把日志分到按順序排列的文件中。 在Linux系統(tǒng)中，日志轉(zhuǎn)儲(chǔ)功能是由logrotate命令實(shí)現(xiàn)的，它可以設(shè)置成按日、按周或按月進(jìn)行轉(zhuǎn)儲(chǔ)，也能在文件太大時(shí)立即處理。,7.2.2 登錄日志,Linux系統(tǒng)還使用一種特殊的日志保留用戶的登錄信息，這些日志信息存放在/var/log目錄的wtmp和lastlog文件，以及/var

5、/run目錄的utmp文件中，它們是由多個(gè)進(jìn)程寫(xiě)入的。有關(guān)當(dāng)前登錄用戶的信息記錄在文件utmp中。wtmp文件主要存放用戶的登入和退出信息，此外還存放關(guān)機(jī)、重起等信息。最后一次登錄的信息存放在lastlog文件中。,7.2.3 記帳功能,在系統(tǒng)管理中，有時(shí)需要記錄用戶對(duì)資源的消費(fèi)情況，作為對(duì)用戶帳號(hào)收取費(fèi)用的依據(jù)。這些日志也可以用于安全目的，提供有關(guān)系統(tǒng)活動(dòng)的有價(jià)值的信息。Linux系統(tǒng)提供了一個(gè)名為psacct的軟件包，可以實(shí)現(xiàn)上述的記帳功能。,7.3 日志分析工具,對(duì)于擁有大量賬戶、系統(tǒng)非常繁忙的Linux系統(tǒng)來(lái)說(shuō)，其日志文件是極其龐大的，大量沒(méi)有價(jià)值的信息會(huì)將有用的信息淹沒(méi)，給管理員分析

6、和管理日志帶來(lái)了很大的不便。為了解決這個(gè)問(wèn)題，出現(xiàn)了很多專(zhuān)門(mén)的日志分析工具，下面介紹一下Logcheck和swatch日志分析工具的安裝、運(yùn)行和使用方法。,7.3.1 Logcheck日志分析工具,Logcheck用來(lái)分析龐大的日志文件，它可以自動(dòng)運(yùn)行，過(guò)濾出有潛在安全風(fēng)險(xiǎn)或其它不正常情況的日志內(nèi)容，然后以電子郵件等形式通知指定的用戶。Logcheck的主頁(yè)是，對(duì)于RHEL5系統(tǒng)來(lái)說(shuō)，可以到下載RPM包直接進(jìn)行安裝，logcheck-1.1.1-2.i586.rpm是其最新版本的文件名。,7.3.2 Swatch日志分析工具,Swatch是另一個(gè)功能強(qiáng)大的Linux日志分析和監(jiān)控工具，它是一種由perl語(yǔ)言編寫(xiě)的程序，可以根據(jù)配置文件的設(shè)置對(duì)系統(tǒng)中的日志內(nèi)容進(jìn)行搜索和監(jiān)控，一旦發(fā)現(xiàn)指定的關(guān)鍵字，將會(huì)以各種方式報(bào)警。Swatch不僅能夠定期地掃描日志文件，而且它能夠象Syslogd守護(hù)進(jìn)程那樣主動(dòng)掃描日志文件并對(duì)特定的日志消息采取修復(fù)行動(dòng)?？梢栽谙到y(tǒng)中運(yùn)行多個(gè)Swatch進(jìn)程，以便對(duì)不同的日志進(jìn)行不同形式的分析與監(jiān)控。,7.4 小結(jié),系統(tǒng)日志為保證主機(jī)安全提供了有力的手段，通過(guò)系統(tǒng)日志，系統(tǒng)管理員可以發(fā)現(xiàn)操作系