操作系统日志简述

Posted 2021-04-19 anyux

大家好，我是anyux。本文介绍操作系统日志

网络环境日志分类

Unix/Linux系统日志

1.登录时间日志子系统：登录时间日志通常会与多个程序的执行产生关联，一般情况下，会记录到/var/log/wtm和/var/run/utmp中

2.进程统计日志子系统：主要由系统的内核来实现完成记录操作。进程终止，系统能自动记录该进程，并在其日志文件中添加记录信息

3.错误日志子系统：由syslogd实现。对各个应用系统(HTTP,FTP,Samba)的守护进程、系统内核来自动利用syslog向/var/log/messages文件写入信息

Unix/Linux日志格式

2.应用程序的日志文件，由ascii文本形式保存，默认存储在/var/log/messages目录中，如/var/log/httpd/ ,/var/log/samba

3.操作记录日志文件。包含两种，登录人员的日志信息lastlog.二进制格式存储，包含用户名，终端号，登录ip，登录时间等。系统邮件服务器记录日志maillog，ascii文本格式存储，包含进程名，邮件代号、日期、时间、操作过程

Windows日志

1.系统日志：系统中各组件运行时的事件。分为驱动程序问题，系统组件问题，应用程序问题。这些问题包含数据丢失，错误，崩溃等

2.安全日志：记录安全事件，包含登录、退出信息，重要资源的操作等

3.应用程序日志：记录应用程序各类事件

windows一般使用二进制格式存储，使用事件查看器或第三主分析工具读取。

Windows系统日志

windows200 Advanced Server

日志类型	目录位置
应用程序	C:WINNTsystem32configAppEvent.Evt
安全	C:WINDOWSsystem32configSecEvent.Evt
系统	C:WINDOWSsystem32configSysEvent.Evt
IIS目录	C:WINDOWSsystem32configLogFiles

Windows Server 2003 企业版

日志类型	目录位置
应用程序	C:WINDOWSsystem32configAppEvent.Evt
安全	C:WINDOWSsystem32configSecEvent.Evt
系统	C:WINDOWSsystem32configSysEvent.Evt
目录服务	C:WINDOWSsystem32configNTDS.Evt
DNS服务器	C:WINDOWSsystem32configDnsEvent.Evt
文件复制服务	C:WINDOWSsystem32configNtFrs.Evt
防火墙日志	C:WINDOWSpfirewall.log

Windows Server 2008 标准版

日志类型	目录位置
应用程序	%SystemRoot%System32WinevtLogsApplication.evtx
安全	%SystemRoot%System32WinevtLogsSecurity.evtx
系统	%SystemRoot%System32WinevtLogsSystem.evtx
防火墙	%SystemRoot%System32WinevtLogspfirewall.log

Windows Vista/Windows 7 /Windows 8 日志情况

日志类型	目录位置
应用程序	%SystemRoot%System32WinevtLogsApplication.evtx
最大日志容量	1801PB
安全	%SystemRoot%System32WinevtLogsSecurity.evtx
系统	%SystemRoot%System32WinevtLogsSystem.evtx
防火墙	%SystemRoot%System32WinevtLogspfirewall.log

网络设备日志

PIX防火墙日志，记录事件如下：AAA(认证、授权、记账)事件，Connection事件，SNMP事件，Routing errors事件，Failover事件，PIX系统管理事件

交换机日志，记录设备自身运行状态，及异常状态，兼容Syslog RFC 3164的支持