日志与审核

Posted paranoid-4

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了日志与审核相关的知识,希望对你有一定的参考价值。

系统日志:

日志类型及存储位置?

Linux常见的日志文件如下:

1、/var/log/boot.log(自检过程)

2、/var/log/cron (crontab守护进程crond所派生的子进程的动作)

3、/var/log/maillog(发送到系统或从系统发出的电子邮件的活动)

4、/var/log/syslog(它只记录警告信息,常常是系统出问题的信息,所以更应该关注改文件)

     要让系统生成syslog日志文件,在/etc/syslog.conf文件中加上: *.waming /var/log/syslog

     该日志文件能记录当用户登录时login记录下的错误口令、Sendmail的问题、su命令执行失败等信息

5、/var/run/utmp(该日志文件需要使用lastlog命令查看)

6、/var/log/wtmp(该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件)

7、/var/run/utmp(该日志文件记录有关当前登录的每个用户的信息)

8、/var/log/xferlog(该日志文件记录FTP会话,可以显示出用户向FTP服务器或从服务器拷贝了什么文件)

详见

如何查看日志?有哪些工具,如何使用?

1、tail(用来查看文件的内容,如果值前面没有+或-,那么从文件末尾指定的单元号开始读取文件)

参数: 
tail [ -f ] [ -c Number | -n Number | -m Number | -b Number | -k Number ] [ File ] 
参数解释: 
-f 该参数用于监视File文件增长。 
-c Number 从 Number 字节位置读取指定文件 
-n Number 从 Number 行位置读取指定文件。 
-m Number 从 Number 多字节字符位置读取指定文件,比方你的文件假设包括中文字,假设指定-c参数,可能导致截断,但使用-m则会避免该问题。 
-b Number 从 Number 表示的512字节块位置读取指定文件。 
-k Number 从 Number 表示的1KB块位置读取指定文件。 
File 指定操作的目标文件名称 
上述命令中,都涉及到number,假设不指定,默认显示10行。Number前面可使用正负号,表示该偏移从顶部还是从尾部開始计算。 
tail可运行文件一般在/usr/bin/以下。 
实例:  
1、tail -f filename  
说明:监视filename文件的尾部内容(默认10行,相当于增加参数 -n 10),刷新显示在屏幕上。退出,按下CTRL+C。  

2、tail -n 20 filename  
说明:显示filename最后20行。  

3、tail -r -n 10 filename  
说明:逆序显示filename最后10行。

2、head(head命令和tail命令就像他的名字一样浅显易懂,它是用来显示开头或者结尾某个数量的文字区块,head用来显示档案的开头至标准输出当中)

参数:  -q 隐藏文件名

            -v 显示文件名

            -c 显示字节数

            -n 显示的行数

3、sed(本身就是一个管道命令,主要是以行为单位进行处理,可以将数据进行替换、删除、新增、选取等特定工作)

参数:  -n 使用安静(silent)模式。在一般的sed的用法中,所有来自STDIN的资料一般会被列出到荧幕上。但如果加上-n参数后,则只有经过sed特殊处理的那一行(或者动作)才会被列出来

参数: -p 列印,亦即将某个选择的资料印出

 

与日志记录的一些配置文件及配置项,分别表示什么含义?

 

如何分析用户登录失败、SU失败的日志?

 

操作记录:

用户历史操作记录的存储位置?

 

如何查看用户历史操作?有哪些工具,如何使用?

 

以上是关于日志与审核的主要内容,如果未能解决你的问题,请参考以下文章

O365 PowerShell Script安全与合规中心审核日志

html JSON-LD审核片段结构化数据示例

为啥 Google Meet 报告审核日志 API 不同步?

argparse 代码片段只打印部分日志

常用python日期日志获取内容循环的代码片段

如何在 discord.js 中使用审核日志的成员角色更新部分