Linux系统日志审计
Linux系统日志审计
- 日志子系统
- 1.连接时间日志
- auth.log / secure SSH登录日志
- 2.进程统计
- 3.错误日志
- 其他日志
- 安装日志
日志子系统
在Linux系统中,有三个主要的日志子系统:
1.连接时间日志
登陆系统的时间和IP
记录文件:/var/log/wtmp和/var/run/utmp,login
auth.log / secure SSH登录日志
auth.log:
会记录ssh登陆的IP和端口
cat auth.log |grep Accepted
SSH登录日志 : secure(CentOS)或者auth.log(Ubuntu)
https://blog.51cto.com/winhe/2114533
2.进程统计
由系统内核执行,当一个进程终止时,为每个进程往进程统计文件(pacct或acct)中写一个纪录,进程统计的目的是为系统中的基本服务提供命令使用统计。
当用户发现最近服务器有异常时,可以开启进程监视统计功能,所有记录信息会写入/var/log/account/pacct和/var/log/account/acct中
启动:accton /var/log/account/pacct或者accton on
显示进程统计:lastcomm
停止进程统计:acctonsa |more
用于报告,清理并维护进程统计日志,将/var/account/pacct的日志文件压缩到/var/log/savacc和/var/log/usracc文件中,其中savacc是基于命令名称索引的,而usracc基于用户名进行索引的
其中re:实例时间,分钟为单位CP:表示系统和用户的使用时间,分钟为单位
sa -u |grep root|more
显示root用户的进程数和使用命令所占用CPU及系统的时间
sa -m
显示每个用户的进程数量和CPU数
lastcomm
sa -u
sa -m
3.错误日志
由syslogd(8)执行。各种系统守护进程、用户程序和内核通过syslog(3)向文件/var/log/messages报告值得注意的事件。
其他日志
其他程序如中间件、FTP 也会生成日志,常用的日志文件如下:
access.log 记录HTTP/web的传输
acct/pacct 纪录用户命令
aculog 纪录MODEM的活动
messages 从syslog中记录信息(有的链接到syslog文件)
sudolog 纪录使用sudo发出的命令
sulog 纪录使用su命令的使用
syslog 从syslog中记录信息(通常链接到messages文件)
记录服务器曾经同步时间的 网络时间协议(NTP)服务器 的网络地址IP
btmp 登陆失败的纪录
utmp 纪录当前登录的每个用户
wtmp 一个用户每次登录进入和退出时间的永久纪录
lastlog 纪录最近几次成功登录的事件和最后一次不成功的登录
xferlog 纪录FTP会话
安装日志
/var/log/installer/installer-journal.txt
特别是搭lvm的时候会有记录
参考文章:
https://www.hacking8.com/MiscSecNotes/linux-check-pentest.html
Linux系统日志审计相关推荐
- 【项目记录】Linux日志审计系统
项目时期 大学 项目详情 第一章 作品概述 本作品实现了对客户端的Linux系统日志审计以及警报.使用者只需预留用于警报的邮箱,在客户端部署软件,即可实现对Linux系统日志的转发分析以及通过客户预留 ...
- 77.Linux系统日志,screen工具介绍
Linux系统日志 日志重要吗?必须的,没有日志我们怎么知道系统状况?没有日志如何排查一个trouble?日志记录了系统每天发生的各种各样的事情,你可以通过他来检查错误发生的原因,或者受到***时** ...
- Linux系统.xsesion日志文件,linux系统日志
##日志记录系统每天发生的各种各样的事情,比如监控系统的状况,排查系统的故障等.你可以通过日志来检查错误发生的原因,或者受到***时留下的痕迹.日志的主要功能是审计和监测,还有实时的监测系统状态,监测 ...
- 三十六、rsync通过服务同步、Linux系统日志、screen工具
三十六.rsync通过服务同步.Linux系统日志.screen工具 一.rsync通过服务同步 该方式可以理解为:在远程主机上建立一个rsync的服务器,在服务器上配置好各种应用,然后本机将作为客户 ...
- Linux系统日志管理(redhat)
一.Linux系统日志作用 日志对任何一个OS.应用软件.服务进程而言都是必不可少的模块.日志 文件对于系统和网络安全起到中大作用,同时具有审计.跟踪.排错功能. 可以通过日志文件监测系统与网络安全隐 ...
- 红帽linux 系统日志,Linux系统日志的介绍
Linux系统日志的介绍 发布时间:2008-09-08 17:03:40 作者:佚名 我要评论 系统的那些讯息以及应该记录在那些档案, 或如何显示, 是由 /etc/syslog.conf ...
- 【Linux系统】第12节 Linux系统日志管理及日志的异地备份
目录 1 日志概述 1.1 日志的分类 1.2 日志管理服务 rsyslog 1.3 日志事件级别划分 2 日志异地备份 2.1 远程登录服务器并删除日志 2.2 日志的异地备份/日志服务器的建立 3 ...
- linux 怎么查看内核日志,怎样查看Linux系统日志?
原标题:怎样查看Linux系统日志? 很多企业都会使用Linux系统,审计Linux系统日志可以提供有关网络事件的重要信息.高效查看Linux系统日志对工作而言十分重要,以下是常用命令 # uname ...
- Linux系统日志切割
Linux系统日志切割 如果服务器有大量的用户的话,这些日志文件的大小会很快地增加,在服务器硬盘不是非常充足的情况下,必须采取措施防止日志文件将硬盘撑爆.现代的Linux版本都有一个小程序,名为log ...
最新文章
- python输出文字加数字_python变量、输入、输出、数字、字符串
- 文巾解题 27. 移除元素
- 写了 30 多个 Go 常用文件操作的示例,收藏这一篇就够了
- iOS coredata 多表查询
- CCIR601和CCIR656标准的区别
- 上班族吐槽大集合:那些发生在公司的傻X奇遇
- Registry:THERE IS NOT VERSION ASSOCIATED FOR THIS PARTICULAR SCHEMA
- FIFO、UART、ALE解释
- 一次数据库的简单性能优化
- 翻译:您在Swift 5中的第一个UITest
- java ror_Java会因为RoR的流行而过时吗?
- 用友U8软件功能集合
- 智能生活雷达应用,微波雷达技术发展,微波雷达感应模块方案
- java 加权平均_加权平均值 - 不羁之后的个人空间 - OSCHINA - 中文开源技术交流社区...
- mysql全量备份命令_linux下进行定时mysql数据库全量备份
- 在线rar压缩包解密软件,rar压缩包权限密码多少?
- 20本书让你迅速跟别人拉开差距
- 四六级对计算机考研有影响吗,“考研”没过四六级,对考研有影响吗?
- 同步AOKP源码的方法
- CF235C Cyclical Quest(SAM)