深入学习linux日志系统(2)

这是深入学习linux日志系统的第二篇。共二篇。

一:进程统计---进程记账,监视所有用户执行的命令
一些异常用户试图移去系统上的所有活动记录(比如 ~/.bash_history), 不过我们可以使用专门的工具来监视所有用户执行的命令。推荐你使用进程记帐来记录用户的活动, 你可以通过进程记帐查看每一个用户执行的命令, 包括CPU时间和内存占用。
Psacct程序提供了几个进程活动监视工具: ac, lastcomm, accton和sa。
ac命令显示用户连接时间的统计。
lastcomm命令显示系统执行的命令。
accton命令用于打开或关闭进程记帐功能。
sa命令统计系统进程记帐的情况。
1). 启动psacct/acct服务,psacct在RHEL4.4中默认是不启动的.
# chkconfig psacct on
# /etc/init.d/psacct start
现在我们可以了解如何利用这些工具来监视用户的命令和时间。
2). 显示用户连线时间的统计信息
ac 在上面已经讨论
3). 查找用户过去执行的命令
你可以使用lastcomm命令打印出用户过去执行的命令。你也可以通过用户名, tty名或命令名来搜索以往执行的命令。
比如显示root用户过去执行的命令:
# lastcomm root
[root@localhost log]# lastcomm root | more
lastcomm                root     pts/1      0.03 secs Wed Dec  2 14:16
crond             SF    root     __         0.02 secs Wed Dec  2 14:15
mrtg              S     root     __         0.65 secs Wed Dec  2 14:15
crond             SF    root     __         0.01 secs Wed Dec  2 14:10
mrtg              S     root     __         0.65 secs Wed Dec  2 14:10
crond             SF    root     __         0.02 secs Wed Dec  2 14:10
sadc              S     root     __         0.02 secs Wed Dec  2 14:10
crond             SF    root     __         0.02 secs Wed Dec  2 14:05
mrtg              S     root     __         0.63 secs Wed Dec  2 14:05
bash               F    root     pts/1      0.00 secs Wed Dec  2 14:02
bash               F    root     pts/1      0.00 secs Wed Dec  2 14:01
每一行信息都在屏幕上打印出来, 我们以第一行输出项为例:
lastcomm                root     pts/1      0.03 secs Wed Dec  2 14:16
分析:
lastcomm 是进程的命令名。
S和X是标志信息, 由系统记帐程序管理。每一个标志的含义是:
S -- 命令由超级用户执行。
F -- 命令由fork产生, 但是没有exec(执行)。
D -- 命令终止并创建一个core文件。
X -- 命令被SIGTERM信号终止。
root是执行命令的用户名。
prts/1 终端名。
0.00 secs -- 进程退出时间。
你可以通过执行下面的命令来搜索进程记帐日志谁做了rm操用:
# lastcomm rm
rm                      root     pts/1      0.00 secs Wed Dec  2 14:21
rm                      root     pts/1      0.00 secs Wed Dec  2 14:19
rm                      root     pts/1      0.00 secs Wed Dec  2 14:19
你可以通过终端名pts/1作为关键字来搜索进程记帐日志:
# lastcomm pts/1
4). 统计记帐信息
你可以使用sa命令打印过去执行命令的统计信息。另外, sa命令保存了一个叫做savacct文件, 文件包含了命令被调用的次数和资源使用的次数。而且sa还提供每一个用户的统计信息, 这些信息保存在一个叫做usracct的文件当中。
# sa
207       0.41re       0.40cp     7408k   mrtg
  6       0.04re       0.04cp     7240k   awstats.pl
 15       0.01re       0.00cp     2108k   ***other*
1242      53.91re      0.00cp     6081k   sshd
以结果输出的第二行为例:
  6       0.04re       0.04cp     7240k   awstats.p
分析:
0.04re "实际时间" 单位为分钟。
0.04cp 系统和用户时间总数(CPU时间, 单位为分钟)。
7240K 核心使用所占的平均CPU时间, 一个单元的大小为1KB。
awstats.pl 命令名。
显示每一个用户:
# sa -u
root       0.00 cpu      595k mem accton          
root       0.00 cpu     1339k mem logrotate.gf2tt 
找出谁在占用CPU
你可以通过查看re, k, cp/cpu(见上面输出解释)时间来找出可疑的活动, 或某个用户/命令占用了所有的CPU时间。如果CPU/Memeory使用数(命令)在不断增加, 可以说明命令存在问题。

二:日志去向
Syslog已被许多日志函数采纳，它用在许多保护措施中--任何程序都可以通过syslog 纪录事件。Syslog可以纪录系统事件，可以写到一个文件或设备中，或给用户发送一个信息。它能纪录本地事件或通过网络纪录另一个主机上的事件。
Syslog设备依据两个重要的文件：/etc/syslogd（守护进程）和/etc/syslog.conf配置文件，习惯上，多数syslog信息被写到/var/adm或/var/log目录下的信息文件中（messages.*）。一个典型的syslog纪录包括生成程序的名字和一个文本信息。它还包括一个设备和一个优先级范围（但不在日之中出现）。
每个syslog消息被赋予下面的主要设备之一：
LOG_AUTH--认证系统：login、su、getty等
LOG_AUTHPRIV--同LOG_AUTH，但只登录到所选择的单个用户可读的文件中
LOG_CRON--cron守护进程
LOG_DAEMON--其他系统守护进程，如routed
LOG_FTP--文件传输协议：ftpd、tftpd
LOG_KERN--内核产生的消息
LOG_LPR--系统打印机缓冲池：lpr、lpd
LOG_MAIL--电子邮件系统
LOG_NEWS--网络新闻系统
LOG_SYSLOG--由syslogd（8）产生的内部消息
LOG_USER--随机用户进程产生的消息
LOG_UUCP--UUCP子系统
LOG_LOCAL0~LOG_LOCAL7--为本地使用保留
Syslog为每个事件赋予几个不同的优先级：
LOG_EMERG--紧急情况
LOG_ALERT--应该被立即改正的问题，如系统数据库破坏
LOG_CRIT--重要情况，如硬盘错误
LOG_ERR--错误
LOG_WARNING--警告信息
LOG_NOTICE--不是错误情况，但是可能需要处理
LOG_INFO--情报信息
LOG_DEBUG--包含情报的信息，通常旨在调试一个程序时使用
syslog.conf文件指明syslogd程序纪录日志的行为，该程序在启动时查询配置文件。该文件由不同程序或消息分类的单个条目组成，每个占一行。对每类消息提供一个选择域和一个动作域。这些域由tab隔开：选择域指明消息的类型和优先级；动作域指明syslogd接收到一个与选择标准相匹配的消息时所执行的动作。每个选项是由设备和优先级组成。当指明一个优先级时，syslogd将纪录一个拥有相同或更高优先级的消息。
所以如果指明"crit"，那所有标为crit、alert和emerg的消息将被纪录。每行的行动域指明当选择域选择了一个给定消息后应该把他发送到哪儿。
例如，如果想把所有邮件消息纪录到一个文件中，如下：
#Log all the mail messages in one place
mail.* /var/log/maillog
其他设备也有自己的日志。UUCP和news设备能产生许多外部消息。它把这些消息存到自己的日志（/var/log/spooler）中并把级别限为"err"或更高。例如：
# Save mail and news errors of level err and higher in aspecial file.
uucp,news.crit /var/log/spooler
当一个紧急消息到来时，可能想让所有的用户都得到。也可能想让自己的日志接收并保存。
#Everybody gets emergency messages， plus log them on anther machine
*.emerg * 
*.emerg @linuxaid.com.cn
alert消息应该写到root和tiger的个人账号中：
#Root and Tiger get alert and higher messages
*.alert root,tiger
有时syslogd将产生大量的消息。例如内核（"kern"设备）可能很冗长。用户可能想把内核消息纪录到/dev/console中。下面的例子表明内核日志纪录被注释掉了：
#Log all kernel messages to the console
#Logging much else clutters up the screen
#kern.* /dev/console
用户可以在一行中指明所有的设备。下面的例子把info或更高级别的消息送到/var/log/messages，除了mail以外。级别"none"禁止一个设备：
#Log anything（except mail）of level info or higher
#Don log private authentication messages!
*.info:mail.none;authpriv.none /var/log/messages
在有些情况下，可以把日志送到打印机，这样网络入侵者怎么修改日志都没有用了。通常要广泛纪录日志。Syslog设备是一个攻击者的显著目标。一个为其他主机维护日志的系统对于防范服务器攻击特别脆弱，因此要特别注意。
有个小命令logger为syslog（3）系统日志文件提供一个shell命令接口，使用户能创建日志文件中的条目。用法：logger 例如：logger This is a test！
它将产生一个如下的syslog纪录：Aug 19 22:22:34 tiger: This is a test!
注意：不要完全相信日志，因为攻击者很容易修改它的。

到此，深入学习linux日志系统学习完毕，想必您已对linux日志系统有了更加深入的了解与体会。
脚本学习网，您身边的技术学习网站。