此外，这里写的不错:http://os.51cto.com/art/200711/60313_1.htm

转自:http://www.51testing.com/html/51/46551-2116.html

成功地管理任何系统的关键之一，是要知道系统中正在发生什么事。Linux 中提供了异常日志，并且日志的细节是可配置的。Linux 日志都以明文形式存储，所以用户不需要特殊的工具就可以搜索和阅读它们。还可以编写脚本，来扫描这些日志，并基于它们的内容去自动执行某些功能。 Linux 日志存储在 /var/log 目录中。这里有几个由系统维护的日志文件，但其他服务和程序也可能会把它们的日志放在这里。大多数日志只有root账户才可以读，不过修改文件的访问权限就可以让其他人可读。51Testing软件测试网cBr*A+T.Nl.E

i7\"w K?g#y5e | W#L+l0
f$BEY0h2u4gz%{0　　RedHat Linux常用的日志文件51Testing软件测试网T%o Hq\p

IY1B'hCY2|051Testing软件测试网/z H \#c/Wx0F
　　RedHat Linux常见的日志文件详述如下51Testing软件测试网6@H/sAB O4N

p&a|0c5Y D0　　/var/log/boot.log51Testing软件测试网"vbE6RX

(^(i Ut#\!Oe0　　该文件记录了系统在引导过程中发生的事件，就是Linux系统开机自检过程显示的信息。51Testing软件测试网W:A k v~_
51Testing软件测试网+H pU0CE,k&^-Q

3G2Q TH*r0　　/var/log/cron
\r*FV5cq_J0
Wv)re*p2]0　　该日志文件记录crontab守护进程crond所派生的子进程的动作，前面加上用户、登录时间和PID，以及派生出的进程的动作。CMD的一个动作是cron派生出一个调度进程的常见情况。REPLACE（替换）动作记录用户对它的cron文件的更新，该文件列出了要周期性执行的任务调度。 RELOAD动作在REPLACE动作后不久发生，这意味着cron注意到一个用户的cron文件被更新而cron需要把它重新装入内存。该文件可能会查到一些反常的情况。51Testing软件测试网GR-UaN$K
51Testing软件测试网 MH5_*Ig$?J ^6s
51Testing软件测试网V!Ja^ Sp4EqD
　　/var/log/maillog
%@9f.HQh7~"x0
HNR:kB0　　该日志文件记录了每一个发送到系统或从系统发出的电子邮件的活动。它可以用来查看用户使用哪个系统发送工具或把数据发送到哪个系统。下面是该日志文件的片段：51Testing软件测试网(V'Wg;_%Kg*A,@Ir

ShZx;x;XA'Z,z051Testing软件测试网,w,B*z x&Nl
QUOTE:
\+[Ci0x2b9S0
[6O@ V8D.mc0Sep 4 17:23:52 UNIX sendmail[1950]: g849Npp01950: from=root, size=25,
0]#^:t0Rq051Testing软件测试网)Or5Gg0x7L&EH
class=0, nrcpts=1,51Testing软件测试网D0A6` I JRG

z;\v5Z~v~0msgid=<200209040923.g849Npp01950@redhat.pfcc.com.cn>,
2}%Q Ny"@a$w3eR[051Testing软件测试网7u&m%o:ws
relay=root@localhost51Testing软件测试网ch4Q6T6EY!H(Fz
51Testing软件测试网%Y.e4|:{_+g^
Sep 4 17:23:55 UNIX sendmail[1950]: g849Npp01950: to=lzy@fcceec.net,
w6_qaZn051Testing软件测试网2}5]`D ~IK^
ctladdr=root (0/0), delay=00:00:04, xdelay=00:00:03, mailer=esmtp, pri=30025,51Testing软件测试网5j~*f? l;g;X;m*g
51Testing软件测试网-z*rG O!g
relay=fcceec.net. [10.152.8.2], dsn=2.0.0, stat=Sent (Message queued)51Testing软件测试网7s(h Sl\a*r,ZG l
51Testing软件测试网~ L"wzU%I6q
/var/log/messages51Testing软件测试网1Fx^"kh:Hi~

&J7W[ r/zN f0
Z_](}kz{:u0　　该日志文件是许多进程日志文件的汇总，从该文件可以看出任何入侵企图或成功的入侵。如以下几行：51Testing软件测试网*g FF \y

$lwB&C4k1D(m051Testing软件测试网%L.m&Y|"d4w(T |1[
QUOTE:
7C+d%H-jc)e'|+_051Testing软件测试网(Qj/~m]+`
51Testing软件测试网I0E#B:~{
Sep 3 08:30:17 UNIX login[1275]: FAILED LOGIN 2 FROM (null) FOR suying,
/zeb v|\nfulk051Testing软件测试网%h*\*{il(SI!zG
Authentication failure51Testing软件测试网F:rX bT Y
51Testing软件测试网7r h!s Nh8[.D%C1G
Sep 4 17:40:28 UNIX -- suying[2017]: LOGIN ON pts/1 BY suying FROM
S&D `_.a0
`YR$l$Z-x8u0fcceec.www.ec8.pfcc.com.cn
Sl] EP.d051Testing软件测试网0dy'N(op R-j I8O
Sep 4 17:40:39 UNIX su(pam_unix)[2048]: session opened for user root by suying(uid=999)
t Rv4K&RG` E051Testing软件测试网'o0f2I8W|^!F_'U~
51Testing软件测试网P%Qi} D}
51Testing软件测试网1T/IP Shmong]z
　　该文件的格式是每一行包含日期、主机名、程序名，后面是包含PID或内核标识的方括号、一个冒号和一个空格，最后是消息。该文件有一个不足，就是被记录的入侵企图和成功的入侵事件，被淹没在大量的正常进程的记录中。但该文件可以由/etc/syslog文件进行定制。由 /etc/syslog.conf配置文件决定系统如何写入/var/messages。有关如何配置/etc/syslog.conf文件决定系统日志记录的行为，将在后面详细叙述。
`,EF @e$wU_2w0
.vf\o3o&w:I*Q0
kL$V-N-G{0　　/var/log/syslog51Testing软件测试网!Wi){7Mn} W%\TU%E
51Testing软件测试网[ ]LH@2_
　　默认RedHat Linux不生成该日志文件，但可以配置/etc/syslog.conf让系统生成该日志文件。它和/etc/log/messages日志文件不同，它只记录警告信息，常常是系统出问题的信息，所以更应该关注该文件。要让系统生成该日志文件，在/etc/syslog.conf文件中加上： *.warning /var/log/syslog 　　该日志文件能记录当用户登录时login记录下的错误口令、Sendmail的问题、su命令执行失败等信息。下面是一条记录：51Testing软件测试网d6]s{A*zm1n+Py

:~lGg;h@051Testing软件测试网mo6n5A `!`
QUOTE:
l5Z7C,]"m \m051Testing软件测试网8ef)QR:J4K5Q
51Testing软件测试网'K9O"E}(_*^&`,re
Sep 6 16:47:52 UNIX login(pam_unix)[2384]: check pass; user unknown
.d_q*w4M#C0
9U1\i\%` wy`T0/var/log/secure
+s,yO r*q"U051Testing软件测试网I/mmM IZ _/l|
该日志文件记录与安全相关的信息。该日志文件的部分内容如下：51Testing软件测试网+N4mNb}"U?-A*[N

'Iq!WO2wGq;Mw*Zr051Testing软件测试网8zf;om6r~}
QUOTE:
y!]Vw m0
$\j!ckk*}/pP0Sep 4 16:05:09 UNIX xinetd[711]: START: ftp pid=1815 from=127.0.0.151Testing软件测试网IR!v%S0U@6m

s-fC:\|0Sep 4 16:05:09 UNIX xinetd[1815]: USERID: ftp OTHER :root
O q)U\*pK V051Testing软件测试网ld U_y;cj
Sep 4 16:07:24 UNIX xinetd[711]: EXIT: ftp pid=1815 duration=135(sec)51Testing软件测试网N(}FVzTU~$X

*Z5w(TqEo2a0Sep 4 16:10:05 UNIX xinetd[711]: START: ftp pid=1846 from=127.0.0.1
{1a+zR\dangD0
` t0n;Hj;O0Sep 4 16:10:05 UNIX xinetd[1846]: USERID: ftp OTHER :root
Mv5|_X.Sk051Testing软件测试网}$C5@f [
Sep 4 16:16:26 UNIX xinetd[711]: EXIT: ftp pid=1846 duration=381(sec)
dQ4ued7C9z@3]0
8l(?g)@bY7F0Sep 4 17:40:20 UNIX xinetd[711]: START: telnet pid=2016 from=10.152.8.251Testing软件测试网*f!bv._r}+C {
51Testing软件测试网/e:Vb(t:E vj;S-Q
/var/log/lastlog
*sL$A0M cQ1uq3b3Q051Testing软件测试网VkB/QXl+~S5X

b \.?8[Usq051Testing软件测试网.\sK6NO@%EA;t
51Testing软件测试网R xUe.Zt9eF
　　该日志文件记录最近成功登录的事件和最后一次不成功的登录事件，由login生成。在每次用户登录时被查询，该文件是二进制文件，需要使用 lastlog命令查看，根据UID排序显示登录名、端口号和上次登录时间。如果某用户从来没有登录过，就显示为"**Never logged in**"。该命令只能以root权限执行。简单地输入lastlog命令后就会看到类似如下的信息：51Testing软件测试网 j7{&uq"g9{$Y

N"^3SO Bh'to&@{h6M0
%[ O;A/? zH ul9UH0QUOTE:51Testing软件测试网OFz j"c]
51Testing软件测试网@(R Cpb%B%[
Username Port From Latest
"V HQ%|*T-K)o051Testing软件测试网p#n&L1^!{ak c*E
root tty2 Tue Sep 3 08:32:27 +0800 2002
7zJ}~?4l0
?@ SB$`.c~Q!V`}1Y0bin **Never logged in**
!Yci"N;h2r(b#r051Testing软件测试网S't'g+CF+Z[4U
daemon **Never logged in**51Testing软件测试网UQ?8`e(`;I"k;~9i
51Testing软件测试网3Gw+Q5A$J&}
adm **Never logged in**51Testing软件测试网9I3kY1Rx t

Uh Xv:y,X6D4D0lp **Never logged in**51Testing软件测试网AW%OE(L|V
51Testing软件测试网 l!y-A3D z'e
sync **Never logged in**51Testing软件测试网ivvlH%n

3Bp[+~%I1i0shutdown **Never logged in**51Testing软件测试网FR U/f'd&k7J s!X u+o)\

*B7L0@"W9V(d Q(C&j0halt **Never logged in**
N3nS%D*tyI,Ci0
(p*\2I'q9dM;u(o.K/Mb,A0mail **Never logged in**
g'[n(g"@\+z1y!hD051Testing软件测试网 s7P,Ad3g3p I`
news **Never logged in**
i,w:hRkM;S0
!iT$~&^ R0uucp **Never logged in**
9IN,Z0f9o+Kj0M K Ri_0
&X }"e2pn,sPG V,D0operator **Never logged in**
k,MIq%^/w&i051Testing软件测试网M'UeYd~L
games **Never logged in**
BuO'S0[d)M051Testing软件测试网[g;T$@:r#v[GO
gopher **Never logged in**
H as^%W[ ~0
l l+@Y7d7^~4n0ftp ftp UNIX Tue Sep 3 14:49:04 +0800 2002
V-l0_tx051Testing软件测试网X+V(C"KT1k[N
nobody **Never logged in**51Testing软件测试网T3\x(L.tj

~L a:iR0nscd **Never logged in**
$Ma,k:D!Rf/?0
9k-Q+L8J.rxG6S&t$Z0mailnull **Never logged in**51Testing软件测试网2`F mSq@;F"d

9x6n1j9s,P$cH1Y9z0ident **Never logged in**
2Z1YpB?)l*o@ Q~051Testing软件测试网{]ux @5]6rc
rpc **Never logged in**51Testing软件测试网5Q)e:^{~0H A}
51Testing软件测试网g._!GK5X-Q
rpcuser **Never logged in**
/WgM;l`$M!N6}1n0
)W8pB|s&u+n3CH0xfs **Never logged in**
Q0]8Ak3t];A4s/V051Testing软件测试网ga:u4\ J_G
gdm **Never logged in**51Testing软件测试网 uW3}(z4ZAO'b1w:o

_-o^:O3X}0postgres **Never logged in**51Testing软件测试网7s+NmQ.A&Z:j

2g$p^*c4g"[l/MG nE0apache **Never logged in**
W e1K7s)H.cG051Testing软件测试网Z/ff5S'Vc
lzy tty2 Mon Jul 15 08:50:37 +0800 200251Testing软件测试网W2T{"o&w

E^:~$Q{-B2I0suying tty2 Tue Sep 3 08:31:17 +0800 2002
NHS6m"e(z#c051Testing软件测试网 { UY(RK

]:d]*KG5jT Wj051Testing软件测试网Za8i/w&na
　　系统账户诸如bin、daemon、adm、uucp、mail等决不应该登录，如果发现这些账户已经登录，就说明系统可能已经被入侵了。若发现记录的时间不是用户上次登录的时间，则说明该用户的账户已经泄密了。
,vc3h~*@!A0
G7|(Nkl5@#BN7q0
Z4bj$n"j*a^0　　/var/log/wtmp
S%aw\c[A`051Testing软件测试网'a.V1xQg1nw

T k t)v{ w0　　该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件。因此随着系统正常运行时间的增加，该文件的大小也会越来越大，增加的速度取决于系统用户登录的次数。该日志文件可以用来查看用户的登录记录，last命令就通过访问这个文件获得这些信息，并以反序从后向前显示用户的登录记录，last也能根据用户、终端 tty或时间显示相应的记录。
_g#lpi(AF3I zo0
e t^ {N:Yh051Testing软件测试网#o/F7@f/p
　　命令last有两个可选参数：51Testing软件测试网NiUpp`W

#`2Z X:s%[we P+k051Testing软件测试网9D1S)DG B+G'm6kkf
　　last -u 用户名 显示用户上次登录的情况。51Testing软件测试网}Kvm,zc Db
51Testing软件测试网/H)i U$Z l o_.Wm

$p0gg u2am.Y0　　last -t 天数 显示指定天数之前的用户登录情况。
`V}:v7c$p Z0
c]A7`qd"h0
!s8d;t7eOLOI7v W0　　/var/run/utmp
.[ kaut2r&N `6r051Testing软件测试网-@{@ iB\
51Testing软件测试网x&[`*QJU z
　　该日志文件记录有关当前登录的每个用户的信息。因此这个文件会随着用户登录和注销系统而不断变化，它只保留当时联机的用户记录，不会为用户保留永久的记录。系统中需要查询当前用户状态的程序，如 who、w、users、finger等就需要访问这个文件。该日志文件并不能包括所有精确的信息，因为某些突发错误会终止用户登录会话，而系统没有及时更新 utmp记录，因此该日志文件的记录不是百分之百值得信赖的。51Testing软件测试网0F.B6s8Y,X7X U#X7lI:g)I

-]x%k\V!cBu051Testing软件测试网? spD k
　　以上提及的3个文件（/var/log/wtmp、/var/run/utmp、/var/log/lastlog）是日志子系统的关键文件，都记录了用户登录的情况。这些文件的所有记录都包含了时间戳。这些文件是按二进制保存的，故不能用less、cat之类的命令直接查看这些文件，而是需要使用相关命令通过这些文件而查看。其中，utmp和wtmp文件的数据结构是一样的，而lastlog文件则使用另外的数据结构，关于它们的具体的数据结构可以使用man命令查询。
?g'dfC+}051Testing软件测试网!|9g pm9i%y8] @`Uf

D'TXb1x0Nx_ f0　　每次有一个用户登录时，login程序在文件lastlog中查看用户的UID。如果存在，则把用户上次登录、注销时间和主机名写到标准输出中，然后 login程序在lastlog中记录新的登录时间，打开utmp文件并插入用户的utmp记录。该记录一直用到用户登录退出时删除。utmp文件被各种命令使用，包括who、w、users和finger。
q/Z6^ @r7P6Br051Testing软件测试网rkzf)ZNA{xf L0Yc
51Testing软件测试网O!hf.} l;{ m.O`
　　下一步，login程序打开文件wtmp附加用户的utmp记录。当用户登录退出时，具有更新时间戳的同一utmp记录附加到文件中。wtmp文件被程序last使用。51Testing软件测试网Qjy Z Gh
51Testing软件测试网:h2vs6{:Kj'Np

;N H3{l)P9a0　　/var/log/xferlog
h#OY6]C.{051Testing软件测试网"QaZ1}A+T

,?-Qug-j0　　该日志文件记录FTP会话，可以显示出用户向FTP服务器或从服务器拷贝了什么文件。该文件会显示用户拷贝到服务器上的用来入侵服务器的恶意程序，以及该用户拷贝了哪些文件供他使用。
cE3K*b7CR8rq0
8x ono$aM&a{9H0
Ax Bm|0　　该文件的格式为：第一个域是日期和时间，第二个域是下载文件所花费的秒数、远程系统名称、文件大小、本地路径名、传输类型（a：ASCII，b：二进制）、与压缩相关的标志或tar，或"_"（如果没有压缩的话）、传输方向（相对于服务器而言：i代表进，o代表出）、访问模式（a：匿名，g：输入口令，r：真实用户）、用户名、服务名（通常是ftp）、认证方法（l：RFC931，或0），认证用户的ID或"*"。下面是该文件的一条记录：
~|6E&a;z}/X9qT0
/D[h9{8dz0
+k2K#D7w7CD:j&XEKN0QUOTE:51Testing软件测试网$e^D%eq
51Testing软件测试网^ X3F}NZ

q7~l^{(`0Wed Sep 4 08:14:03 2002 1 UNIX 27553151Testing软件测试网g%iw*R Pn8@

:q'H4oy(X])~Z0/var/ftp/lib/libnss_files-2.2.2.so b _ o a -root@UNIX ftp 0 * c
N4D9xz(pZ|6O051Testing软件测试网%J_c!v|1YCR/b&F
/var/log/kernlog
kb'w!p9Zi0
$g6S Snz)h\){!@051Testing软件测试网 h&F/ByP9IJb

'm*j5y"^ G`6}~4w051Testing软件测试网&_p-{z;t$e,k
　　　RedHat Linux默认没有记录该日志文件。要启用该日志文件，必须在/etc/syslog.conf文件中添加一行：kern.* /var/log/kernlog 。这样就启用了向/var/log/kernlog文件中记录所有内核消息的功能。该文件记录了系统启动时加载设备或使用设备的情况。一般是正常的*作，但如果记录了没有授权的用户进行的这些*作，就要注意，因为有可能这就是恶意用户的行为。下面是该文件的部分内容：51Testing软件测试网w%L5@.G#H6g1a#`(c"`3U

L~&B%l${8G051Testing软件测试网9dQ.p!NJ2qm z(t
QUOTE:
0cfaB ~X|,K051Testing软件测试网 U V)lMQq?'a
Sep 5 09:38:42 UNIX kernel: NET4: Linux TCP/IP 1.0 for NET4.051Testing软件测试网 ]j2lL.qL

5G|.H-O"~4@H\0Sep 5 09:38:42 UNIX kernel: IP Protocols: ICMP, UDP, TCP, IGMP
&d#K4G4cfO7m't?0
X S%g:ll{!rr9A#Z0Sep 5 09:38:42 UNIX kernel: IP: routing cache hash table of 512 buckets, 4Kbytes51Testing软件测试网2f*g;C2K0y

L \A8y'\'WR8dl8k1z0Sep 5 09:38:43 UNIX kernel: TCP: Hash tables configured (established 4096 bind 4096)
M4C7A{[+Lg v0s051Testing软件测试网'so%s3L)S
Sep 5 09:38:43 UNIX kernel: Linux IP multicast router 0.06 plus PIM-SM51Testing软件测试网g U:l8Vho.b

LA,gm%_u7D2?l0Sep 5 09:38:43 UNIX kernel: NET4: Unix domain sockets 1.0/SMP for Linux NET4.0.
]-HPG z:voq051Testing软件测试网3V0kWe"P1[L
Sep 5 09:38:44 UNIX kernel: EXT2-fs warning: checktime reached, running e2fsck is recommended51Testing软件测试网'z!Pd~5|(vq
51Testing软件测试网HZD6k.N1w+bO#FdT
Sep 5 09:38:44 UNIX kernel: VFS: Mounted root (ext2 filesystem).
Vx)EmV*P051Testing软件测试网 b.y^z(]/Y"HR
Sep 5 09:38:44 UNIX kernel: SCSI subsystem driver Revision: 1.0051Testing软件测试网.Ws"S c1mO-O(c
51Testing软件测试网*?]:i[id
/var/log/Xfree86.x.log51Testing软件测试网)| Z?@1z'm

0R%B(Q;i K*uD[0
Zv^}!n9Z6g051Testing软件测试网0s5a/pt/KV

&~X(D%~@6VY,y @y\0　　该日志文件记录了X-Window启动的情况。另外，除了/var/log/外，恶意用户也可能在别的地方留下痕迹，应该注意以下几个地方：root 和其他账户的shell历史文件；用户的各种邮箱，如.sent、mbox，以及存放在/var/spool/mail/ 和 /var/spool/mqueue中的邮箱；临时文件/tmp、/usr/tmp、/var/tmp；隐藏的目录；其他恶意用户创建的文件，通常是以 "."开头的具有隐藏属性的文件等。
N4IpR)ImD:o2e051Testing软件测试网R-m-p(B%?4g5YO

?{!X T3h{M0　　具体命令
J8u3wNM0
{ c0L5G"g051Testing软件测试网5l+o#n E/V1L
　　wtmp和utmp文件都是二进制文件，它们不能被诸如tail之类的命令剪贴或合并（使用cat命令）。用户需要使用who、w、users、last和ac等命令来使用这两个文件包含的信息。51Testing软件测试网3~ i(?8pK/b,h+q;s
51Testing软件测试网 D3] ~I*N3D&Q9d]
51Testing软件测试网9w~2P`}r \V c
　　who命令51Testing软件测试网Q&W g(B {][O$\`

U(\Th4f#U051Testing软件测试网'{nQ[y F
　　who命令查询utmp文件并报告当前登录的每个用户。who的默认输出包括用户名、终端类型、登录日期及远程主机。例如，键入who命令，然后按回车键，将显示如下内容：51Testing软件测试网1vg{E+`fZb

.PA6@4yH%R7S kV0
| b W S0H7T*lc'r"WDn^u0QUOTE:
:TU%Ggu.] A*Jz%V-n051Testing软件测试网(hgN!zs O(`*`%T"J6|
chyang pts/0 Aug 18 15:0651Testing软件测试网8F/Wu ~3pK#?Q7OP

U9dE8N ui} lF0ynguo pts/2 Aug 18 15:3251Testing软件测试网#L+l"q c9H,R I

1Xd_,TD!vL)V0ynguo pts/3 Aug 18 13:5551Testing软件测试网rzA$w*j2MQ
51Testing软件测试网R-Y1Qh*Z%u
lewis pts/4 Aug 18 13:35
2IZl/zl"d e#P:U v051Testing软件测试网E/\ ]#q(]_B,n6Rv;Q#Z
ynguo pts/7 Aug 18 14:1251Testing软件测试网&Q6J5z |;Uf;c

j`hn3v9F3U]R3E0ylou pts/8 Aug 18 14:15
Dyq8B+|u5v+oB'R051Testing软件测试网|}'e nbftkl"~
51Testing软件测试网Au@-\!O%V"E O
　　如果指明了wtmp文件名，则who命令查询所有以前的记录。命令who /var/log/wtmp将报告自从wtmp文件创建或删改以来的每一次登录。51Testing软件测试网3KCP+EIC|W
51Testing软件测试网}4\-h9M're
51Testing软件测试网1h R"_7~$C7fk3A
　　w命令
P n;K+u L%bG051Testing软件测试网D&^-M4\.k
51Testing软件测试网)z3L"` d@
　　w命令查询utmp文件并显示当前系统中每个用户和它所运行的进程信息。例如，键入w命令，然后按回车键，将显示如下内容：
1NJ.w0vhO`?Y051Testing软件测试网\ enAS3\Uz

P1M^iI m:x0QUOTE:51Testing软件测试网V H T+G&O+iHA

V4ql Y HQZ051Testing软件测试网Kvp@,f+k
3:36pm up 1 day, 22:34, 6 users, load average: 0.23, 0.29, 0.27
4t1Wb}b2M.vRB051Testing软件测试网,anuy^rm
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
0XJ M^)e0
S)D(\v{0chyang pts/0 202.38.68.242 3:06pm 2:04 0.08s 0.04s -bash51Testing软件测试网W$K7P T3Y`.w%atw
51Testing软件测试网 Lbs~&_M
ynguo pts/2 202.38.79.47 3:32pm 0.00s 0.14s 0.05 w
%X9p?t,f7Qj8@0
Aw~h!}E;~P R(~ o0lewis pts/3 202.38.64.233 1:55pm 30:39 0.27s 0.22s -bash
e-^%akZ/c-E j0
,U9Z'ht;xAx+I2d M0lewis pts/4 202.38.64.233 1:35pm 6.00s 4.03s 0.01s sh /home/users/51Testing软件测试网-B#c)V%{N6r.^
51Testing软件测试网aIk%s#e
ynguo pts/7 simba.nic.ustc.e 2:12pm 0.00s 0.47s 0.24s telnet mail
bE9l#v"K2By051Testing软件测试网hi1~\Z.kYqX:Ih
ylou pts/8 202.38.64.235 2:15pm 1:09m 0.10s 0.04s -bash
9m6}t*u/i051Testing软件测试网Z/x7DpH:mY%?,y4b
　　users命令
0z"nT1q_'yV TmT051Testing软件测试网y5xDMI9|^ w%Td
51Testing软件测试网(b4I b5@2f5Oq*B:Z~
　　users命令用单独的一行打印出当前登录的用户，每个显示的用户名对应一个登录会话。如果一个用户有不止一个登录会话，那他的用户名将显示相同的次数。例如，键入users命令，然后按回车键，将显示如下内容：
!Z \\n(n/qlTL0
$p7v k9XTY2Y051Testing软件测试网4L'pY U%j["f*m@2A
QUOTE:
6~/[E8ssQ1m0
;p%M F*U5i l0　　chyang lewis lewis ylou ynguo ynguo51Testing软件测试网4Sk J+dL!["[ {

5fPi(x!V&I_ ? i0　　last命令
0PF ij^6x051Testing软件测试网W"q1io*g"H f7c8b

g7w$y5lR!{.F6w0　　last命令往回搜索wtmp来显示自从文件第一次创建以来登录过的用户。例如：51Testing软件测试网4d|lc%q]

4v6nMB&A0T OG+z051Testing软件测试网um(a-|)Zd!c&V&m
QUOTE:
;n$@2|\CL ^c7w R@n051Testing软件测试网+kSB.a,dHh(O5G

q;_,y)`K [ G%w0chyang pts/9 202.38.68.242 Tue Aug 1 08:34 - 11:23 (02:49)
@f.GV$PB0
$G%\r&YfD]0cfan pts/6 202.38.64.224 Tue Aug 1 08:33 - 08:48 (00:14)51Testing软件测试网Z7Sj^we:b

XxZ#V:C0chyang pts/4 202.38.68.242 Tue Aug 1 08:32 - 12:13 (03:40)
y,}dh"UE0
P%B,O!ej:`,P7b J(QYx0lewis pts/3 202.38.64.233 Tue Aug 1 08:06 - 11:09 (03:03)
/yz'k j.Mt%Q2Tw1O051Testing软件测试网`{;t qA
lewis pts/2 202.38.64.233 Tue Aug 1 07:56 - 11:09 (03:12)
5t^$@ `mF[G051Testing软件测试网1y[DPU;~?Cu5v&o

'X ^c'i,ohy4G,[0　　如果指明了用户，那么last只报告该用户的近期活动，例如，键入last ynguo命令，然后按回车键，将显示如下内容：51Testing软件测试网HNu}p/?
51Testing软件测试网]8h(JA-K$?

Z%c aM1g+ljJ~3|0QUOTE:
3rq8h7}V2}051Testing软件测试网L#buH.{o%V4?

K)\([/t6d6D0ynguo pts/4 simba.nic.ustc.e Fri Aug 4 16:50 - 08:20 (15:30)51Testing软件测试网!H9E?.WJy8FF9E!W

mT?[L1hC0ynguo pts/4 simba.nic.ustc.e Thu Aug 3 23:55 - 04:40 (04:44)51Testing软件测试网(} r3xjEK0Y

VB{Bf(Zc0ynguo pts/11 simba.nic.ustc.e Thu Aug 3 20:45 - 22:02 (01:16)
Y#HdTV ]3T9l0
N/_Jb$m!r2J0ynguo pts/0 simba.nic.ustc.e Thu Aug 3 03:17 - 05:42 (02:25)51Testing软件测试网+UE4dr,`z9{

lT`c e4Zo:xW#q.|0ynguo pts/0 simba.nic.ustc.e Wed Aug 2 01:04 - 03:16 1+02:12)
w1DFs,Enl(G1d0
C\x`L)]j&@ E0ynguo pts/0 simba.nic.ustc.e Wed Aug 2 00:43 - 00:54 (00:11)
9NXv@6z;`3u~Q U0
#oW"z/bM r2A8N2W gt0ynguo pts/9 simba.nic.ustc.e Thu Aug 1 20:30 - 21:26 (00:55)51Testing软件测试网 ? e5}yqD^
51Testing软件测试网&a.P7_HZh
51Testing软件测试网9W[5rH b"H)[Fl
　　ac命令
$@(}`+f*A@ L*AA:G0
GI@ g[o4Ux0
c)?H"_%S3Jc%H0　　ac命令根据当前的/var/log/wtmp文件中的登录进入和退出来报告用户连接的时间（小时），如果不使用标志，则报告总的时间。例如，键入ac命令，然后按回车键，将显示如下内容：51Testing软件测试网I,qp/EihS8w5\2i
51Testing软件测试网!\6a~D]ZELV

{ ?q[+[!x3Lr0QUOTE:
;j.e)n5a A0
M rV$W`-r7r R8H2f v0　　total 5177.47
U7b&d(U1siXm.Bm0
ncna E-C\0键入ac -d命令，然后按回车键，将显示每天的总的连接时间：
\ h1N2B"d7Z051Testing软件测试网v5m(g[3j3@R.G
51Testing软件测试网8q@\?_7gAv
QUOTE:
_A1IV%jL0
F({ m S? f6x0
0i^ U!D&rA5U0Aug 12 total 261.8751Testing软件测试网 \+O2B@O
51Testing软件测试网5T&O!g.lQPX0N
Aug 13 total 351.39
/i3x!V$e^ ?051Testing软件测试网?S:o%a:w-oF(wC;`i'm-j
Aug 14 total 396.0951Testing软件测试网/^r0]U ~ {WT1W

:Zz)xF3l!t+]0Aug 15 total 462.63
1VF_'nB*^3th0
:gx G'r dx N4\0Aug 16 total 270.4551Testing软件测试网;T2vR"zizKs

di'}y\#u;b0Aug 17 total 104.29
*J8i@3l.h+rb9X051Testing软件测试网e Ky`Z$b T x
Today total 179.0251Testing软件测试网Lkt$M6_ c BgP
51Testing软件测试网`)A+EEX|
51Testing软件测试网y]H[[/c
　　键入ac -p命令，然后按回车键，将显示每个用户的总的连接时间：51Testing软件测试网 Q D}.m H:s?-l#gw
51Testing软件测试网#~]TB p9JG

P(x8_y)K:ZzlW0QUOTE:51Testing软件测试网&[*IRd qE

k3tI'CS Jrqr U+D$|&G0
2t\z(I3Ah0ynguo 193.23
"iC&GoLI"`9[051Testing软件测试网2v7E.kLCW
yucao 3.35
ZB LJUt yd z051Testing软件测试网$kt5J"o Yw;tG|T
rong 133.40
e)F2Jn!n0
G-Y!mb8{&kXJ1N-@x0hdai 10.52
[0kM|MJ&hn#P}&O0
5h0Pq/bQ r!r4J0zjzhu 52.87
-WSn|*Xh u7dQ051Testing软件测试网*x7w9eG'k
zqzhou 13.1451Testing软件测试网7yNSLy*V

\bF8E(f@K'rr;P0liangliu 24.3451Testing软件测试网Z JZ6|"C}3m%u

L ~'yRG`u0mW0total 5178.2451Testing软件测试网0V@6k$kN0v

FMV x)M x`Q051Testing软件测试网T/bx!X.Za-da:J
　　lastlog命令51Testing软件测试网*Dy4D9?r/x2e$W
51Testing软件测试网5dv'G t4j?,S
51Testing软件测试网#m1F*W*\,` `"e u
　　lastlog文件在每次有用户登录时被查询。可以使用lastlog命令检查某特定用户上次登录的时间，并格式化输出上次登录日志 /var/log/lastlog的内容。它根据UID排序显示登录名、端口号（tty）和上次登录时间。如果一个用户从未登录过，lastlog显示 **Never logged**。注意需要以root身份运行该命令，例如：51Testing软件测试网 bI({Zr%mr5JK:w

相关回复

fwr(2006-9-13 11:28:56)

rong 5 202.38.64.187 Fri Aug 18 15:57:01 +0800 2000
`#d!Ec*S0
Cz'kLS|0dbb **Never logged in**51Testing软件测试网~*R*W zF/r
51Testing软件测试网!}GDtP5Q5?$A
xinchen **Never logged in**
m+Fm }R m051Testing软件测试网Q8l]s [
pb9511 **Never logged in**
6[ ZqR,D[0
8SD} |(C(D$Rt0xchen 0 202.38.64.190 Sun Aug 13 10:01:22 +0800 2000
Opy V8_E`051Testing软件测试网k;^f$Zq$T3Y~6_
51Testing软件测试网,K$}a"?q*t
另外，可加一些参数，例如，"last -u 102"命令将报告UID为102的用户；"last -t 7"命令表示限制为上一周的报告。
*_p i,QA:h*_B@051Testing软件测试网Z3cn)Je%[ F Dtux
51Testing软件测试网h,z#o/uZ^U8DR
　　进程统计
L^] t8Z&S0
@0q3j,b,q-V0
5t/C3aF/[6{^ ?0　　UNIX可以跟踪每个用户运行的每条命令，如果想知道昨晚弄乱了哪些重要的文件，进程统计子系统可以告诉你。它还对跟踪一个侵入者有帮助。与连接时间日志不同，进程统计子系统默认不激活，它必须启动。在Linux系统中启动进程统计使用accton命令，必须用root身份来运行。accton命令的形式为：accton file，file必须事先存在。先使用touch命令创建pacct文件：touch /var/log/pacct，然后运行accton：accton /var/log/pacct。一旦accton被激活，就可以使用lastcomm命令监测系统中任何时候执行的命令。若要关闭统计，可以使用不带任何参数的accton命令。51Testing软件测试网sB:V7J5L

L ro_'S'_0
v O W?&g1B5_5ux0　　lastcomm命令报告以前执行的文件。不带参数时，lastcomm命令显示当前统计文件生命周期内记录的所有命令的有关信息。包括命令名、用户、tty、命令花费的CPU时间和一个时间戳。如果系统有许多用户，输入则可能很长。看下面的例子：
*t)E4|p+F%r`]n q$U051Testing软件测试网!g?nnf@"l3T
51Testing软件测试网&Y.}!mx(F"_f/]
QUOTE:
-Ez]![ B9Cr3A0
B^1T@c(U3c051Testing软件测试网"o`/{~8t*?g
crond F root ?? 0.00 secs Sun Aug 20 00:1651Testing软件测试网Jd3|)C AC1B3GX0~ m

b,sM]'[ I@0promisc_check.s S root ?? 0.04 secs Sun Aug 20 00:16
3`4|1SX"Z0
iEWsimmRT0promisc_check root ?? 0.01 secs Sun Aug 20 00:16
3r/?SE_p id-t0
s8p/{zq9uB.Z0grep root ?? 0.02 secs Sun Aug 20 00:16
2^(Ymc8RA0
{m0m w-|$d3Z0tail root ?? 0.01 secs Sun Aug 20 00:1651Testing软件测试网z0y,AN#Lqc:D u"?
51Testing软件测试网I+G&M \2X[-j*V
sh root ?? 0.01 secs Sun Aug 20 00:1551Testing软件测试网{|%S O-W P\*rZ

,A!}'^)q`+j0ping S root ?? 0.01 secs Sun Aug 20 00:15
0_5j@ T2`&F;R?0
m)wG;D$j _0ping6.pl F root ?? 0.01 secs Sun Aug 20 00:1551Testing软件测试网+^{J2EN(qY1b

A U}4IV:Z#kTM*^0sh root ?? 0.01 secs Sun Aug 20 00:15
u1\N*G3N)fG1fl051Testing软件测试网\4C`aI-rT\%_ U
ping S root ?? 0.02 secs Sun Aug 20 00:15
&lgO1k+x051Testing软件测试网wX KLs3[gM^V5M
ping6.pl F root ?? 0.02 secs Sun Aug 20 00:15
$z2G'QQM k/k0
y8KE N8]B0sh root ?? 0.02 secs Sun Aug 20 00:1551Testing软件测试网-WG,H%X g"u

I+D N h&s|*M0ping S root ?? 0.00 secs Sun Aug 20 00:1551Testing软件测试网,B Y9n5h.E8]-D

l%k({8Rvg0ping6.pl F root ?? 0.01 secs Sun Aug 20 00:1551Testing软件测试网 `taj!e p;S5|

#jD1md!j$i0sh root ?? 0.01 secs Sun Aug 20 00:1551Testing软件测试网4O4l"C)Wa
51Testing软件测试网(X}l*M I!mI0Bh
ping S root ?? 0.01 secs Sun Aug 20 00:15
I:Qp:h,}&a ~051Testing软件测试网o"f$hOG^J?#tN
sh root ?? 0.02 secs Sun Aug 20 00:1551Testing软件测试网 dE+YQK.n;G

z1]"@'W(V%U(LGb0ping S root ?? 1.34 secs Sun Aug 20 00:15
'i6\ `S-?(m!` D051Testing软件测试网"bD7ct3N
locate root ttyp0 1.34 secs Sun Aug 20 00:1551Testing软件测试网 H.@e~/j6L2M_

@7B&G-v0T%v7T@0accton S root ttyp0 0.00 secs Sun Aug 20 00:1551Testing软件测试网DP{9g!~ B$ur
51Testing软件测试网0Z [!p3hQ-Q#g
51Testing软件测试网'|5?)GD i]
　　进程统计的一个问题是pacct文件可能增长得十分迅速。这时需要交互式地或经过cron机制运行sa命令来保证日志数据在系统控制内。sa命令报告、清理并维护进程统计文件。它能把/var/log/pacct中的信息压缩到摘要文件/var/log/savacct和 /var/log/usracct中。这些摘要包含按命令名和用户名分类的系统统计数据。在默认情况下sa先读它们，然后读pacct文件，使报告能包含所有的可用信息。sa的输出有下面一些标记项。
9_1|Zo0Qa\(y~4T051Testing软件测试网-O3V;T y,l-c
51Testing软件测试网I,j9r~ \Rii
51Testing软件测试网nn4GD$g*[ H)k0]
avio：每次执行的平均I/O*作次数。51Testing软件测试网nV2E+n3?epA
51Testing软件测试网e/qW"l)N Z8`,f7[

)P2Lo(Oe.^Y3DmE0cp：用户和系统时间总和，以分钟计。51Testing软件测试网 p(Q3s%AxS*j*r%t
51Testing软件测试网$X(R E.a${H|c{
51Testing软件测试网[h[t l2j,HIa
cpu：和cp一样。51Testing软件测试网Pp+z4M4y-G"H3x pT
51Testing软件测试网%G$FN/K y

.wW:[/rEhp!B0k：内核使用的平均CPU时间，以1k为单位。
M2@Y+A@H8sy|051Testing软件测试网Q;pIU*qYa-]~

Fl}3m/d0k*sec：CPU存储完整性，以1k-core秒为单位。
+n)gFF,C+R+CJ051Testing软件测试网6]N6O6C:B7Vn

Bv(F5nj7G0re：实时时间，以分钟计。51Testing软件测试网jrj%Rw^uY
51Testing软件测试网yZ B&L~c\

1X$YO!K,A6N-K,t$_0s：系统时间，以分钟计。51Testing软件测试网 G,?%jP C `

BLQ+JD8F0
Di+jB-^3nC,yWV0tio：I/O*作的总数。
rB~*Se xd Yx051Testing软件测试网r(uL(j/Y'H/HEB

,nT%l'^XZ0u：用户时间，以分钟计。51Testing软件测试网] dnAK(G T
51Testing软件测试网 exk Ta [)Q9@'Y

7@5W{ _ s;XO0例如：
/px DYL V(J]051Testing软件测试网 JBN\k}V2xF
51Testing软件测试网7bfIJ6w%I
QUOTE:
@sRX3zZ)`a0
:a2oi8Z|051Testing软件测试网2GZ.]~ juTqK
842 173.26re 4.30cp 0avio 358k51Testing软件测试网%f Th5hmZ

n:?5J,zB4X02 10.98re 4.06cp 0avio 299k find51Testing软件测试网!G y$yuRL&?[X!J

$ge&W/x a09 24.80re 0.05cp 0avio 291k ***other
a/i0Hv+Z:z(U0
tb/gB5y9S6c,z9`{ OB0105 30.44re 0.03cp 0avio 302k ping51Testing软件测试网^b k#cuGM;SP

7P+Z pdr0104 30.55re 0.03cp 0avio 394k sh
5Gh#}AO0^&z.G0
w+S4m\%O/LGZMvI0162 0.11re 0.03cp 0avio 413k security.sh*51Testing软件测试网~"{ mzsT$F1NCd

h\:@wK0154 0.03re 0.02cp 0avio 273k ls
;kr:y5d/\st7fm051Testing软件测试网UR|M Kh^-p5V'_
56 31.61re 0.02cp 0avio 823k ping6.pl*
G*D X6Q-ej9U d6U{0
$O&i m#zHf$M _ck02 3.23re 0.02cp 0avio 822k ping6.pl
C$u'q&B^+t0
.~p}-x$U;ptO035 0.02re 0.01cp 0avio 257k md5sum
bpD"s}X051Testing软件测试网'~0O|J/g
97 0.02re 0.01cp 0avio 263k initlog51Testing软件测试网X9m8OpHz
51Testing软件测试网;R U&V+^ QG+qGaQ
12 0.19re 0.01cp 0avio 399k promisc_check.s51Testing软件测试网7S#]-|-lgq

WP _2Fv.s2H8s.vu*~015 0.09re 0.00cp 0avio 288k grep51Testing软件测试网xe;Tt%U4y7G ` Q

O~ b v/D"g*A aA011 0.08re 0.00cp 0avio 332k awk51Testing软件测试网4Csd:X yTk
51Testing软件测试网;])[.{:qqK9i
51Testing软件测试网4b*Dde7e c&XV |4{Q
用户还可以根据用户而不是命令来提供一个摘要报告。例如，键入命令"sa -m"，将显示如下内容：51Testing软件测试网|Y!TU:K8J1i$u
51Testing软件测试网-n~&G0mg6\ @
51Testing软件测试网rif8ml(NbbJt:G
QUOTE:51Testing软件测试网\Wre1u-oN'E o
51Testing软件测试网v0YXo(b8n
51Testing软件测试网A8I e*t|/H+`,P
885 173.28re 4.31cp 0avk
n {!W}.sj0z051Testing软件测试网N3n3z+n lP3R
root 879 173.23re 4.31cp 0avk51Testing软件测试网6T I&?gw"lF
51Testing软件测试网{9AdQU[ld
alias 3 0.05re 0.00cp 0avk
3?ZoxW4YY7W_0
u5ur9Ca!U0qmailp 3 0.01re 0.00cp 0avk
Sp6h1Yh@0
H6E)e4|w051Testing软件测试网5aV%?&@;F(n!nV DE
　　syslog设备
1[[H9rIC6y-g'v{0
)M*J@F/wsq/b(M051Testing软件测试网`3e2mOl}I
　　syslog已被许多日志函数采纳，它用在许多保护措施中。任何程序都可以通过syslog 记录事件。syslog可以记录系统事件，可以写到一个文件或设备中，或给用户发送一个信息。它能记录本地事件或通过网络记录另一个主机上的事件。51Testing软件测试网u(GlJQ
51Testing软件测试网BQE g#jS

^$jh'F!wG7s0s~'l0　　syslog设备依据两个重要的文件：/etc/syslogd（守护进程）和/etc/syslog.conf配置文件。习惯上，多数syslog 信息被写到/var/adm或/var/log目录下的信息文件中（messages.*）。一个典型的syslog记录包括生成程序的名字和一个文本信息。它还包括一个设备和一个优先级范围（但不在日志中出现）。51Testing软件测试网 \w^`%rIh(f

U+t}3A;NxMd051Testing软件测试网'S)Tm q~
每个syslog消息被赋予下面的主要设备之一：
A7sf{ Of0
qUpg?0
&V1Z$v ^IkPRQ \"|0QUOTE:
:XoulX;JoF~051Testing软件测试网{ L&d IT
51Testing软件测试网ol&W U3h$y^
LOG_AUTH：认证系统login、su、getty等。
]pL!t#sGg `051Testing软件测试网)[]_%CgEF V5NF
LOG_AUTHPRIV：同LOG_AUTH，但只登录到所选择的单个用户可读的文件中。
`#q!R:d1TZ$pOV051Testing软件测试网;RAf"G:TB#|
LOG_CRON：cron守护进程。51Testing软件测试网8y&lB*l+U d C

m|]p~&SO0LOG_DAEMON：其他系统守护进程，如routed。51Testing软件测试网hE;V#S'\Z$o

3s6fFHpLov0LOG_FTP：文件传输协议ftpd、tftpd。51Testing软件测试网BC F:w%`[-vhv8u
51Testing软件测试网;^Sn}T9r
LOG_KERN：内核产生的消息。51Testing软件测试网z-A-R*L B1Y
51Testing软件测试网H?"w&g+C0u$e
LOG_LPR：系统打印机缓冲池lpr、lpd。51Testing软件测试网 c2_*o\9vE%ll

9qWJ9iL0LOG_MAIL：电子邮件系统。
e'p)NZN\| `[0
!~@0I"Y} \"J0LOG_NEWS：网络新闻系统。51Testing软件测试网 }l6deA5v

K zGHm0LOG_SYSLOG：由syslogd（8）产生的内部消息。51Testing软件测试网!mS_)D;Rp$O
51Testing软件测试网hl1U+u*]7r ^o
LOG_USER：随机用户进程产生的消息。
WuU"e3MPw7m9lD051Testing软件测试网d H*\nr5\ w%j"kX
LOG_UUCP：UUCP子系统。
{![c.]VU0
,kW.q5ixNH/c0LOG_LOCAL0~LOG_LOCAL7：为本地使用保留。51Testing软件测试网S`:}L/A5g6M/c
51Testing软件测试网iZ Gt5w5U
syslog为每个事件赋予几个不同的优先级：
-]C%]VK9Dof0
8^ RH!w Y"p*f%z](c0LOG_EMERG：紧急情况。
|x/}YASAX0
3|\7JNH0LOG_ALERT：应该被立即改正的问题，如系统数据库被破坏。
(C9m$l.P&v!s4n@051Testing软件测试网 D0d2O0_@F4y4[ H1]l
LOG_CRIT：重要情况，如硬盘错误。51Testing软件测试网1M-j.S^n
51Testing软件测试网y S5L'k2J T1G
LOG_ERR：错误。51Testing软件测试网UqEf%ChdR!f

q&}E"a$}0LOG_WARNING：警告信息。
H7e%Q!W'|-[Si051Testing软件测试网$U*Ul-L;uq~1cX
LOG_NOTICE：不是错误情况，但是可能需要处理。51Testing软件测试网d,K'bi zMfm
51Testing软件测试网|;s5svE!i:w-o:q
LOG_INFO：情报信息。
m u8e`^%o0[0
(so6[)e_!m0LOG_DEBUG：包含情报的信息，通常只在调试一个程序时使用。
.Y&U7n?M%I051Testing软件测试网uM[^R;MI
51Testing软件测试网U ^+E$x G0O.G(?.KC
　　syslog.conf文件指明syslogd程序记录日志的行为，该程序在启动时查询配置文件。该文件由不同程序或消息分类的单个条目组成，每个占一行。对每类消息提供一个选择域和一个动作域。这些域由tab符隔开：选择域指明消息的类型和优先级；动作域指明syslogd接收到一个与选择标准相匹配的消息时所执行的动作。每个选项是由设备和优先级组成的。当指明一个优先级时，syslogd将记录一个拥有相同或更高优先级的消息。所以如果指明 "crit"，那所有标为crit、alert和emerg的消息将被记录。每行的行动域指明当选择域选择了一个给定消息后应该把它发送到哪儿。例如，如果想把所有邮件消息记录到一个文件中，如下所示：
CAE'l+I @2` }051Testing软件测试网+xp;Q:Y7q
51Testing软件测试网%e.gi:x/Mj5X|"N$}O
QUOTE:
cFx6R^0n0
@Qg!?Z3x9LP@|051Testing软件测试网f?emI\
#Log all the mail messages in one place51Testing软件测试网;H.[/bQ wf#j

aF xKJSz8IA x051Testing软件测试网"{!te W*z:s
51Testing软件测试网g` x:R4cYa
mail.* /var/log/maillog
n$MHP$WFhM%o0
;YB#?3PcAq051Testing软件测试网 I;ee-^a
51Testing软件测试网HH9i5D1vfGJ

V/Y1M \`"G~0　　其他设备也有自己的日志。UUCP和news设备能产生许多外部消息。它把这些消息存到自己的日志（/var/log/spooler）中并把级别限为"err"或更高。例如：
3o(x;[:Yf x051Testing软件测试网-F#eS WB4i

w{-Fva-N0QUOTE:51Testing软件测试网-\T1q"w/] lu

.Ck^;uO:z/z:E(Z051Testing软件测试网e S#rodGe6|*B
# Save mail and news errors of level err and higher in aspecial file.
f8v(v7g%o$w051Testing软件测试网G\*mx.B[;Xu)tS5c
uucp,news.crit /var/log/spooler51Testing软件测试网)iA0g\q0c i0v
51Testing软件测试网\$c!qZY

Bc7wg+vn9N X0　　当一个紧急消息到来时，可能想让所有的用户都得到，也可能想让自己的日志接收并保存：51Testing软件测试网']0l)t.IF#O

7PF9XI!\zi0x3O051Testing软件测试网HG:Q!qt t
QUOTE:
&\ue#YO Fu#[s051Testing软件测试网7H4^],[C+m4v|\q[

(r4svAB5O-]-M\0#Everybody gets emergency messages， plus log them on anther machine51Testing软件测试网 ^|M/{mo

A$B|Va]l4q5z0*.emerg *51Testing软件测试网S]K,P]4t
51Testing软件测试网{ f)~o D9n5h G)P'|*b%R
*.emerg @linuxaid.com.cn
T#e ~^F051Testing软件测试网!j$z!R*gs0P8{
　　alert消息应该写到root和tiger的个人账号中：
i q-Ey~W051Testing软件测试网4J't#ysq G
51Testing软件测试网H'ev7h-} c
QUOTE:51Testing软件测试网z_+NS*V,k'K qQm

BtZH3d,d-o0
|.U2S v'FG0#Root and Tiger get alert and higher messages
/T:FW(u$zgO)}pR051Testing软件测试网$t J6@} r G:V
*.alert root,tiger51Testing软件测试网)P}0D)\`|3p#w
51Testing软件测试网3Z4e${znO1j7I k]
　　有时syslogd将产生大量的消息。例如，内核（"kernel"设备）可能很冗长。用户可能想把内核消息记录到/dev/console中。下面的例子表明内核日志记录被注释掉了：
i0H]"v5OA.jg!N,a0
.ym2wy/M0
uP&E3UP?M fu0QUOTE:
*`5Jm-{u A\O+q0
SRQ^-Z C.?#g051Testing软件测试网!|IZD.UEJ~ \
#Log all kernel messages to the console
x-h0Z;m A"Fx$c5p051Testing软件测试网;x8Jjn#G5]@5G R
#Logging much else clutters up the screen
O9]BS }!\'Y x051Testing软件测试网cc$^2No
#kern.* /dev/console
0Y5d7|0Yw W0
?,N xT@p0c!Us0　　用户可以在一行中指明所有的设备。下面的例子把info或更高级别的消息送到/var/log/messages，除了mail以外。级别"none"禁止一个设备：
9~(b"J6O5y6B(?051Testing软件测试网}/Ep?`4~X

|9H&En,a0QUOTE:
B&G;c*u#u:g$ub(D051Testing软件测试网W&v&Z^ij}X ]

(|?8^3Xhb/j2cmI0#Log anything（except mail）of level info or higher51Testing软件测试网0v]g}%B2`
51Testing软件测试网efr{*C.o[]
#Don't log private authentication messages!51Testing软件测试网6Bx/K!Z:t@+L\!hO
51Testing软件测试网7tc#D#c)i3mOd
*.info:mail.none;authpriv.none /var/log/messages51Testing软件测试网;y%T @&v(|Cf
51Testing软件测试网 f"c}H"G

IQ\@p `0　　在有些情况下，可以把日志送到打印机，这样网络入侵者怎么修改日志就都没有用了。通常要广泛记录日志。syslog设备是一个攻击者的显著目标。一个为其他主机维护日志的系统对于防范服务器攻击特别脆弱，因此要特别注意。51Testing软件测试网]L:W7v7K!mr5G8M

G@+?eKmMMD051Testing软件测试网4T_"@'y*r$h*W,S
有个小命令logger为syslog（3）系统日志文件提供一个shell命令接口，使用户能创建日志文件中的条目。
't4v @%Y$Ejc9W0
2B?/n2\$E8S B051Testing软件测试网Zu8n^WuK
51Testing软件测试网7C2z(zb(P Y
　　用法：logger　51Testing软件测试网!w-wmCVO(wn
51Testing软件测试网0p k#?7Od+s9M
　　例如：logger This is a test！
W t H dA0
Wz^5Z x-h/tC0　　它将产生一个如下的syslog记录：Aug 19 22:22:34 tiger: This is a test!
:iE-o ?2D0
x@#x'v~'J*w0　　注意，不要完全相信日志，因为攻击者很容易修改它的。51Testing软件测试网b$wR0Iu7J$`A
51Testing软件测试网t)m'^-x\iDZ
　　程序日志与其他
a#XD{^(y%TrZ0　　许多程序通过维护日志来反映系统的安全状态。su命令允许用户获得另一个用户的权限，所以它的安全很重要，它的日志文件为sulog。同样的还有 sudolog。另外，像Apache有两个日志：access_log和error_log。还有一些常用到的其他日志工具，我们就不一一阐述了，有兴趣的读者可以参考下边网址的内容。
K Do H U{0QUOTE:
3?Js J[V6vN}o0Chklastlog：51Testing软件测试网8f(} h9W1Mq%s2q
ftp://coast.cs.purdue.edu/pub/tools/unix/chklastlog/
-s(\ Z5E8p,\k!uB7DsH0chkwtmp：51Testing软件测试网B-z^ ohSlv
ftp://coast.cs.purdue.edu/pub/tools/unix/chkwtmp/
jIH;{ {*WC(L@0dump_lastlog：51Testing软件测试网ZT!{&\ q U
ftp://coast.cs.purdue.edu/pub/tools/unix/dump_lastlog.Z
\ eEOW`;w%[p0spar：51Testing软件测试网MWxUe8g&N h
ftp://coast.cs.purdue.edu/pub/tools/unix/TAMU/51Testing软件测试网m#b(t1i Y9lo$DCy
Swatch：51Testing软件测试网!V*J6`;mJed
http://www.lomar.org/komar/alek/pres/swatch/cover.html51Testing软件测试网~oIJ9Bb-?M
Zap：51Testing软件测试网QJ eNmb0H"Bu
ftp://caost.cs.purdue.edu/pub/tools/unix/zap.tar.gz