Linux日志管理的5个常用命令

从Ext到Ext2,从Ext2再到Ext3,乃至以后的Ext4或者更高版本,Linux系统历来以强大、丰富和完整的日志系统著称。通过管理日志,可以清晰地了解系统的运行状况,也能从各种蛛丝马迹中发现入侵和快速地阻止入侵。本文是有关Linux系统全方位管理的第四部分,讲述Linux日志管理方面的事项。前面三个部分分别为:文件系统管理,Linux进程管理,以及用户管理。

日志主要的功能有:审计和监测。它还可以实时的监测系统状态,监测和追踪侵入者等等。成功地管理任何系统的关键之一,是要知道系统中正在发生什么事。Linux中提供了异常日志,并且日志的细节是可配置的。Linux日志都以明文形式存储,所以用户不需要特殊的工具就可以搜索和阅读它们。还可以编写脚本,来扫描这些日志,并基于它们的内容去自动执行某些功能。Linux日志存储在/var/log目录中。这里有几个由系统维护的日志文件,但其他服务和程序也可能会把它们的日志放在这里。大多数日志只有root账户才可以读,不过修改文件的访问权限就可以让其他人可读。在Linux系统中,有四类主要的日志:

◆连接时间日志:由多个程序执行,把记录写入到/var/log/wtmp和/var/run/utmp,login等程序更新wtmp和utmp文件,使系统管理员能够跟踪谁在何时登录到系统。

◆进程统计:由系统内核执行。当一个进程终止时,为每个进程往进程统计文件(pacct或acct)中写一个记录。进程统计的目的是为系统中的基本服务提供命令使用统计。

◆错误日志:由syslogd(8)守护程序执行。各种系统守护进程、用户程序和内核通过syslogd(3)守护程序向文件/var/log/messages报告值得注意的事件。另外有许多UNIX程序创建日志。像HTTP和FTP这样提供网络服务的服务器也保持详细的日志。

◆实用程序日志:许多程序通过维护日志来反映系统的安全状态。su命令允许用户获得另一个用户的权限,所以它的安全很重要,它的文件为sulog。同样的还有sudolog。另外,诸如Apache等Http的服务器都有两个日志:access_log(客户端访问日志)以及error_log(服务出错日志)。 FTP服务的日志记录在xferlog文件当中,Linux下邮件传送服务(sendmail)的日志一般存放在maillog文件当中。

utmp、wtmp日志文件是多数Linux日志子系统的关键,它保存了用户登录进入和退出的记录。有关当前登录用户的信息记录在文件utmp中;登录进入和退出记录在文件wtmp中;数据交换、关机以及重启的机器信息也都记录在wtmp文件中。所有的记录都包含时间戳。时间戳对于日志来说非常重要,因为很多攻击行为分析都与时间有极大的关系。这些文件在具有大量用户的系统中增长十分迅速。例如wtmp文件可以无限增长,除非定期截取。许多系统以一天或者一周为单位把wtmp配置成循环使用。它通常由cron运行的脚本来修改。这些脚本重新命名并循环使用wtmp文件。通常,wtmp在第一天结束后命名为wtmp.1;第二天后wtmp.1变为wtmp.2等等,用户可以根据实际情况来对这些文件进行命名和配置使用。

utmp文件被各种命令文件使用,包括who、w、users和finger。而wtmp文件被程序last和ac使用。

wtmp和utmp文件都是二进制文件,他们不能被诸如tail命令剪贴或合并(使用cat命令)。用户需要使用who、w、users、last和ac来使用这两个文件包含的信息。

1.who命令

who命令查询utmp文件并报告当前登录的每个用户。Who的缺省输出包括用户名、终端类型、登录日期及远程主机。使用该命令,系统管理员可以查看当前系统存在哪些不法用户,从而对其进行审计和处理。例如:运行who命令显示如下所示:

# who
root     pts/1        2010-02-22 13:02 (:0.0)
root     pts/2        2010-02-22 15:57 (:0.0)
root     pts/3        2010-02-22 15:57 (:0.0)

如果指明了wtmp文件名,则who命令查询所有以前的记录。命令who /var/log/wtmp将报告自从wtmp文件创建或删改以来的每一次登录。例如:运行该命令如下所示:

# who /var/log/wtmp
root     :0           2010-01-24 21:47
root     pts/1        2010-01-24 21:47 (:0.0)
root     :0           2010-02-20 19:36
root     pts/1        2010-02-20 19:36 (:0.0)
root     :0           2010-02-21 15:21
root     pts/1        2010-02-21 15:56 (:0.0)
root     pts/2        2010-02-21 16:03 (:0.0)
root     :0           2010-02-22 13:01
root     pts/1        2010-02-22 13:02 (:0.0)
root     pts/2        2010-02-22 15:57 (:0.0)
root     pts/3        2010-02-22 15:57 (:0.0)

以上是小编为您精心准备的的内容,在的博客、问答、公众号、人物、课程等栏目也有的相关内容,欢迎继续使用右上角搜索按钮进行搜索日志
, 文件
, 命令
, 系统
, root
, ext22
, 用户
, 日志root
utmp
日志分析常用命令、linux查看日志命令、linux查看log日志命令、linux清除日志命令、linux打印日志命令,以便于您获取更多的相关知识。

时间: 2025-01-19 19:58:06

Linux日志管理的5个常用命令的相关文章

Linux进程管理的4个常用命令

Linux是一个多用户.多任务的操作系统.在这样的系统中,各种计算机资源(如文件.内存.CPU等)的分配和管理都以进程为单位.为了协调多个进程对这些共享资源的访问,操作系统要跟踪所有进程的活动,以及它们对系统资源的使用情况,从而实施对进程和资源的动态管理.进程在一定条件下可以对诸如文件.数据库等客体进行操作.如果进程用作其他不法用途,将给系统带来重大危害.在现实生活当中,许多网络黑客都是通过种植"木马"的办法来达到破坏计算机系统和入侵的目的,而这些"木马"程序无一例

Linux中RPM文件操作的常用命令总结_Linux

简介 众所周知在Linux操作系统中,有一个系统软件包,它的功能类似于Windows里面的"添加/删除程序",但是功能又比"添加/删除程序"强很多,它就是Red Hat Package Manager(简称RPM).本文介绍的就是关于Linux中RPM文件操作的常用命令,下面话不多说,来一起看看吧. 一.RPM 安装操作 命令: rpm -i 需要安装的包文件名 举例如下: rpm -i example.rpm 安装 example.rpm 包: rpm -iv e

Linux 日志管理指南

管理日志的一个最好做法是将你的日志集中或整合到一个地方,特别是在你有许多服务器或多层级架构时.我们将告诉你为什么这是一个好主意,然后给出如何更容易的做这件事的一些小技巧. 集中管理日志的好处 如果你有很多服务器,查看某个日志文件可能会很麻烦.现代的网站和服务经常包括许多服务器层级.分布式的负载均衡器,等等.找到正确的日志将花费很长时间,甚至要花更长时间在登录服务器的相关问题上.没什么比发现你找的信息没有被保存下来更沮丧的了,或者本该保留的日志文件正好在重启后丢失了. 集中你的日志使它们查找更快速

基于Linux调试工具strace与gdb的常用命令总结_php实例

strace和gdb是Linux环境下的两个常用调试工具,这里是个人在使用过程中对这两个工具常用参数的总结,留作日后查看使用.strace调试工具strace工具用于跟踪进程执行时的系统调用和所接收的信号,包括参数.返回值.执行时间.在Linux中,用户程序要访问系统设备,必须由用户态切换到内核态,这是通过系统调用发起并完成的.strace常用参数:-c 统计每种系统调用执行的时间.调用次数.出错次数,程序退出时给出报告-p pid 跟踪指定的进程,可以使用多个-p同时跟踪多个进程-o file

linux日志管理命令详解

原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 .作者信息和本声明.否则将追究法律责任.http://navyaijm.blog.51cto.com/4647068/816625 志对于安全来说,非常重要,他记录了系统每天发生的各种各样的事情,你可以通过他来检查错误发生的原因,或者受到攻击时攻击者留下的痕迹.日志主要的功能有:审计和监测.他还可以实时的监测系统状态,监测和追踪侵入者等等.   在Linux系统中,有三个主要的日志子系统:连接时间日志--由多个程序执行,把纪录写入到

linux(centos,ubuntu)学习笔记之常用命令

Linux的特点       1) 免费.开源       2) 支持多线程/多用户       3) 安全性好       4) 对内存和文件管理优越             关机重启       sudo shutdown –h now立刻关机       sudo shutdown –r now立刻重启       sudo shutdown –h nn分钟后关机       sudo shutdown –h 12:00到12:00是时候关机   sudo reboot立刻重启      

Linux下使用磁带机的常用命令 tar

  磁带机操作命令: tar命令: 使用tar命令复制文件或者目录树到单个磁带. //注: 不能复制空目录或者设备文件这样的特殊文件,不能用来创建多个磁带卷. 1.复制文件到磁带 (1)切换到包含有需要复制文件的目录 (2)在磁带驱动器中插入可以写入的磁带 (3)输入 tar cvf /dev/rmt/0 filenme filename ... //注: c选项复制指定的文件,v选项显示复制文件的信息,f选项后面跟随的是tar文件写入的磁带设备名.指定的文件名复制到磁带,覆盖磁带上任何已存在的

mysql常用命令大全 mysql常用命令总结_Mysql

创建与管理mysql数据库的常用命令: 1,使用SHOW语句找出在服务器上当前存在什么数据库: mysql> SHOW DATABASES; 2,创建一个数据库MYSQLDATA mysql> CREATE DATABASE MYSQLDATA; 3,选择创建的数据库 mysql> USE MYSQLDATA; (按回车键出现Database changed 时说明操作成功!) 4,查看现在的数据库中存在什么表 mysql> SHOW TABLES; 5,创建一个数据库表 mysq

SSH远程管理Linux常用命令文件上传下载

一.打开主页面,输入HOST就是你的IP,端口默认22,用户默认root,密码见你开通邮件.注意,可以勾选密码下面的Store...,这样就不用每次都输入密码了: 二.Options下面 On Login 里,是登陆后,打开的程序.默认是SSH和SFTP,如果你不需要SFTP可以取消掉,然后,点击最下面的Login登陆: 三.会提示你保存HOTKEY,Accept and Save即可: 四.登陆成功后,会弹出2个新窗口,分别是一个命令行窗口,一个SFTP窗口.命令行窗口,是平时最常用的,安装软