Linux系统里的日志文件是专门用于记录系统操作事件的记录文件或文件集合,操作系统有操作系统日志文件,数据库系统有数据库系统日志文件等等。
系统管理员主要靠系统的LOG,即我们时常所说的日志文件,来获得侵入的痕迹及你进来的IP,或其他信息。当然也可以使用第三方工具来记录侵入他电脑的痕迹,这里主要要讲的是一般Linux系统里记录你踪迹的文件。
那到底这些LOG日志文件放在哪里呢?这主要依靠的是你所进入的UNIX系统系统, 各个系统有些不同的LOG文件,但大多数都应该有差不多的位置,最普通的位置如下:
/usr/adm – 早期版本的UNIX
/var/adm – 新一点的版本使用这个位置
/var/log – 一些版本的Solaris,linux BSD,Free BSD使用这个位置
/etc – 多数UNIX版本把utmp放在这里,有些也把wtmp放在这里,syslog.conf在这里
下面的一些文件根据你所在的目录不同而不同:
acct 或 pacct — 记录每个用户使用的命令记录
access_log — 主要当服务器运行NCSA HTTPD时, 记录什么站点连接过你的服务器
aculog — 保存着你拨出去的MODEMS记录
lastlog — 记录了用户最近的LOGIN记录和每个用户的最初目的地,有时是最后不成功LOGIN的记录
loginlog — 记录一些不正常的LOGIN记录
messages — 记录输出到系统控制台的记录,另外的信息由syslog来生成
security — 记录一些使用UUCP系统企图进入限制范围的事例
sulog — 记录使用su命令的记录
utmp — 记录当前登录到系统中的所有用户, 这个文件伴随着用户进入和离开系统而不断变化.
utmpx — UTMP的扩展
wtmp — 记录用户登录和退出事件
syslog — 最重要的日志文件,使用syslogd守护程序来获得日志信息:
/dev/log — 一个UNIX域套接字,接受在本地机器上运行的进程所产生的消息
/dev/klog — 一个从UNIX内核接受消息的设备
514端口 — 一个INTERNET套接字,接受其他机器通过UDP产生的syslog消息。
uucp — 记录的UUCP的信息,可以被本地UUCP活动更新, 也可有远程站点发起的动作修改,信息包括发出和接受的呼叫,发出的请求,发送者, 发送时间和发送主机
lpd-errs — 处理打印机故障信息的日志
ftp日志 — 执行带-l选项的ftpd能够获得记录功能
httpd日志 — HTTPD服务器在日志中记录每一个WEB访问记录
history日志 — 这个文件保存了用户最近输入命令的记录
vold.log — 记录使用外接媒介时遇到的错误记录
======================
其他类型的日志文件-
======================
有些类型的LOG文件没有特定的标题,但开始于一个特定的标志, 你可以在前面头发现如下的标志,这就一般表示此是个LOG日志文件,你就可以编辑它了:
xfer — 表明试图一个禁止的文件传输.
rexe — 表明试图执行一个不允许的命令
还有许多其他其他类型的LOG文件存在,主要是第三方软件引起的,或者甚至他妈的网管自己有设置了一只”眼睛”在他的系统上,所以你要对你认为可能是LOG文件的文件多一份心眼。
许多管理员喜欢把日志文件放在同一个目录中以便管理,所以你要检查你发现的LOG文件所在的目录中,是否有其他日志文件放在这里,如果有,咯,你知道怎么做。
另一个你要注意的是有关LOG用户MAIL的文件,此文件名可以多种多样,或则有时是syslog文件的一部分。你要知道syslog记录那些信息, 你可以查看syslog.conf中的信息此文件的目录是在/etc中。