Solaris、Mac OS系统日志分析工具

本节以PC服务器上常见的几种UNIX系统例如Solaris、Mac OS以及Sco Openserver系统为例如何在它们这些平台下查找系统日志。

一、用SMC分析系统日志

我们知道Linux系统下的System log viewer是GNOME桌面环境的日志文件查看器，而在Solarsi9/10系统下，同样有非常方便使用GUI工具SMC（Solaris Management Console），目前版本是2.1，它包括了服务器组件（SUNWmc）、客户机组件（SUNWmcc）、常规组件（SUNmccom）、开发工具包（SUNWmcdev）、WBEM组件（SUNWwbmc）这些组件提供了系统配置，网络服务管理，存储管理和设备管理等诸多优秀的管理工具，其中日志查看器是管理员经常要关注的地方，它记录了系统日志，我们查找分析就在这里。如图1-33所示。

图1-33 SMC控制台

1）.确定控制台服务器是否正在运行

# /etc/init.d/init.wbem status

SMC server version 2.1.0 running on port 898

2）.如果控制台服务器未在运行，则启动它。

#/etc/init.d/init.wbem start

3）.启动SMC

#/usr/sadm/bin/smc &

由于SMC权限管理是基于角色的，所以大家要以root身份进入，才能查看全部日志信息。

二、Sco Openserver系统的GUI日志分析工具

sco openserver 系统日志存放位置

/usr/adm/messages一般系统事件记录

/usr/adm/hwconfig

/usr/adm/syslog主要系统事件记录

/usr/internet/ns_httpd/httpd-80/logs Web日志

一般情况下还需要注意以下几个文件：wtmp(用户登录记录)、wtmpx、sulog(用户以其他用户身份登录记录)

我们除了命令行外，我们可以使用GUI工具对日志进行查询等管理操作

#cd /opt/K/SCO/Unix/5.0.5Eb/sa /eventlog

#eventlogGUI

选择那些日志将有/var/adm/syslog 记录，之后我们可以开始正式查看日志内容

#cd /opt/K/SCO/Unix/5.0.5Eb/sa/systemlogs

#systemlogsGUI

三、Mac OS X 的GUI日志查询工具

对于Mac Os系统的日志大家可能不常见到，有时在取证过程中常常需要，这里总结出常用的日志列表，如表1-14所示。另外在Apple Mac OS X 9 以上系统就就包含了日志查询的工具，如图1-34所示，左边一栏是系统的所有日志的列表，右边对应了某条日志的内容，右上方的搜索区域，还能可以根据关键字进行查询，使用还是相当方便的。

表 1-14 Mac系统主要日志

不仅是Cisco IOS操作系统是基于BSD内核，就连Apple这样优秀的操作系统也是基于BSD内核。对于Apple Mac OS X防火墙而言，其实你要是懂得Cisco防火墙就并不难理解了，man一下ipfw就能看出，它其实比Linux下的netfilter更简单。下面就来看个例子：例如我们要禁止ping服务器，也就是禁掉icmp，在表1-15中显示了不同操作系统实现方法。

表1-15 各操作系统之间实现方法对比

细心的读者会观察到这和cisco命令十分相似，如果系统开启了防火墙功能，系统将把防火墙日志记录到appifrewall.log文件中，下面对标准日志做以下说明。

#cat /var/log/appfirewall.log

Jan 15 18:44:47 localhost socketfilterfw[49251]<info>:Deny netbiosd data in for 192.168.11.6:137 to port 137 proto=17

… …

RFC768中规定协议号17代表UDP协议17号表示是上层即传输层是udp协议，udp 137 给计算机提供获得和保护NETBIOS名称。

如果你想尝试在这些系统中分析日志，可以到这里下载实验环境：http://chenguang.blog.51cto.com/350944/1580937

更多原创的内容请参考《Unix/Linux网络日志分析与流量监控》一书