日志与审核
Posted paranoid-4
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了日志与审核相关的知识,希望对你有一定的参考价值。
系统日志:
日志类型及存储位置?
Linux常见的日志文件如下:
1、/var/log/boot.log(自检过程)
2、/var/log/cron (crontab守护进程crond所派生的子进程的动作)
3、/var/log/maillog(发送到系统或从系统发出的电子邮件的活动)
4、/var/log/syslog(它只记录警告信息,常常是系统出问题的信息,所以更应该关注改文件)
要让系统生成syslog日志文件,在/etc/syslog.conf文件中加上: *.waming /var/log/syslog
该日志文件能记录当用户登录时login记录下的错误口令、Sendmail的问题、su命令执行失败等信息
5、/var/run/utmp(该日志文件需要使用lastlog命令查看)
6、/var/log/wtmp(该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件)
7、/var/run/utmp(该日志文件记录有关当前登录的每个用户的信息)
8、/var/log/xferlog(该日志文件记录FTP会话,可以显示出用户向FTP服务器或从服务器拷贝了什么文件)
如何查看日志?有哪些工具,如何使用?
1、tail(用来查看文件的内容,如果值前面没有+或-,那么从文件末尾指定的单元号开始读取文件)
参数:
tail [ -f ] [ -c Number | -n Number | -m Number | -b Number | -k Number ] [ File ]
参数解释:
-f 该参数用于监视File文件增长。
-c Number 从 Number 字节位置读取指定文件
-n Number 从 Number 行位置读取指定文件。
-m Number 从 Number 多字节字符位置读取指定文件,比方你的文件假设包括中文字,假设指定-c参数,可能导致截断,但使用-m则会避免该问题。
-b Number 从 Number 表示的512字节块位置读取指定文件。
-k Number 从 Number 表示的1KB块位置读取指定文件。
File 指定操作的目标文件名称
上述命令中,都涉及到number,假设不指定,默认显示10行。Number前面可使用正负号,表示该偏移从顶部还是从尾部開始计算。
tail可运行文件一般在/usr/bin/以下。
实例:
1、tail -f filename
说明:监视filename文件的尾部内容(默认10行,相当于增加参数 -n 10),刷新显示在屏幕上。退出,按下CTRL+C。
2、tail -n 20 filename
说明:显示filename最后20行。
3、tail -r -n 10 filename
说明:逆序显示filename最后10行。
2、head(head命令和tail命令就像他的名字一样浅显易懂,它是用来显示开头或者结尾某个数量的文字区块,head用来显示档案的开头至标准输出当中)
参数: -q 隐藏文件名
-v 显示文件名
-c 显示字节数
-n 显示的行数
3、sed(本身就是一个管道命令,主要是以行为单位进行处理,可以将数据进行替换、删除、新增、选取等特定工作)
参数: -n 使用安静(silent)模式。在一般的sed的用法中,所有来自STDIN的资料一般会被列出到荧幕上。但如果加上-n参数后,则只有经过sed特殊处理的那一行(或者动作)才会被列出来
参数: -p 列印,亦即将某个选择的资料印出
与日志记录的一些配置文件及配置项,分别表示什么含义?
如何分析用户登录失败、SU失败的日志?
操作记录:
用户历史操作记录的存储位置?
如何查看用户历史操作?有哪些工具,如何使用?
以上是关于日志与审核的主要内容,如果未能解决你的问题,请参考以下文章
O365 PowerShell Script安全与合规中心审核日志