日誌對於安全來說,非常重要,它記錄了系統每天發生的各種各樣的事情,你可以通過它來檢查錯誤發生的原因,或者受到攻擊時攻擊者留下的痕跡。下面是相關的知識,歡迎閱讀。
日誌主要的功能有:審計和監測。它還可以實時的監測系統狀態,監測和追蹤侵入者等等。
那麼日誌存放的位置在哪裏呢?
/var/log
常用日誌文件
⊙btmp 記錄登陸失敗的信息
⊙lastlog 記錄最近幾次成功登錄的事件和最後一次不成功的登錄
⊙messages 從syslog中記錄信息(有的`鏈接到syslog文件)
⊙utmp 記錄當前登錄的每個用戶
⊙wtmp 系統登錄的情況:登入登出
登錄信息的查看
last 查看登錄日誌內容
lastlog 記錄所有的用戶什麼時候登錄過系統
lastlog 和 last的區別:
last 查看IP
lastlog 查看後門的賬號
lastb 查看
# 如果說你發現你的btmp文件變得很大,說明有很大的可能是有人在暴力破解你的主機
日誌管理
系統和程序的“日記本”
– 記錄系統、程序運行中發生的各種事件
– 通過查看日誌,瞭解及排除故障
– 信息安全控制的“依據”
/var/log/messages 記錄內核消息、各種服務的公共消息
/var/log/dmesg 記錄系統啓動過程的各種消息
/var/log/cron 記錄與cron計劃任務相關的消息
/var/log/maillog 記錄郵件收發相關的消息
/var/log/secure 記錄與訪問限制相關的安全消息
/var/log/lastlog 最後登錄信息
/var/log/btmp 用戶登錄系統的錯誤信息
通用分析工具
– tail、tailf、less、grep等文本瀏覽/檢索命令
– awk、sed等格式化過濾工具
用戶登錄分析
users、who、w 命令
– 查看已登錄的用戶信息,詳細度不同
last、lastb 命令
– 查看最近登錄成功/失敗的用戶信息
日誌消息的優先級
Linux內核定義的事件緊急程度
– 分爲 0~7 共8種優先級別
– 其數值越小,表示對應事件越緊急/重要
4級別本身及以上,屬於錯誤日誌
使用journalctl工具
提取由 systemd-journal 服務蒐集的日誌
– 主要包括內核/系統日誌、服務日誌
常見用法
– journalctl | grep 關鍵詞
– journalctl -u 服務名 [-p 優先級]
– journalctl -n 消息條數
– journalctl --since="yyyy-mm-dd HH:MM:SS" --
until="yyyy-mm-dd HH:MM:SS"
栗子:
# yum -y install httpd
# systemctl restart httpd
# journalctl -u httpd
# journalctl -u httpd -p 6
# journalctl
# journalctl -n 10
systemd
一個更高效的系統&服務管理器
– 開機服務並行啓動,各系統服務間的精確依賴
– 配置目錄:/etc/systemd/system/
– 服務目錄:/lib/systemd/system/
– service:後臺的獨立服務
– target:一套配置單元的組合,類似於傳統“運行級別”(運行模式)
運行模式:圖形、字符
et 圖形
et 字符
設置開機默認的運行級別(運行模式)
# systemctl get-default #查看默認的運行模式
# systemctl set-default et
# systemctl get-default
# reboot
臨時切換運行級別(運行模式)
# systemctl isolate et
# systemctl isolate et
啓動/停止/重啓/看狀態
控制服務狀態
– systemctl start|stop|restart 服務名...
查看服務的運行狀態
– systemctl status 服務名...
配置開機自啓
查看服務是否自啓
– systemctl is-enabled 服務名...
設置服務是否開機自啓
– systemctl enable|disable 服務名...