12-8 用户日志与程序日志

2016.6.25

12-8-1用户日志

• 在wtmp、btmp、lastlog等日志文件中，保存了系统用户登录、退出等相关的事件消息。但是这些文件都是二进制的数据文件，不能直接使用tail、less等文本查看工具进行浏览，需要使用who、w、users、last和lastab等用户查询命令来获取日志信息
• 查询当前登录的用户情况：users、who、w
  • users命令只是简单地输出当前登录的用户名称，每个显示的用户名对应的一个登录会话。如果一个用户不止一个登录会话，那他的用户名将显示与其相同的次数
• 查询当前登录的用户情况：users、who、w
  • who命令用于报告当前登录到系统中的每个用户的信息。使用该命令，系统管理员可以查看当前系统存在哪些不合法用户，从而对其进行审计和处理。who的默认输出包括用户名、终端类型、登录日期及远程主机
  • w命令用于显示当前系统中的每个用户及其所运行的进程信息，比users、who命令的输出内容要更加丰富一些
• 查询用户登录的历史记录：last、lastaba命令
  • last命令用于查询成功登录到系统的用户记录，最近的登录情况将显示在最前面。通过last命令可以及时掌握linux主机的登录情况，若发现未经授权的用户登录过，表示但钱主机可能已被入侵
  • lastab命令用于查询登录失败的用户记录，如登录的用户名错误、密码不正确等情况都将记录在案。用于登录失败的情况属于安全事件，因为这表示可能有人在尝试拆解你的密码。除了使用lastab命令查看以为，也可以直接从安全日志文件/var/log/secure中获得相关信息

users

[root@test2 ~]# users
jason root root
[root@test2 ~]#

who

[root@test2 ~]# who
jason    pts/1        2016-06-25 19:32 (192.168.0.1)
root     tty1         2016-06-25 19:43 (:0)
root     pts/2        2016-06-25 19:44 (:0.0)

w

[root@test2 ~]# w
 22:39:36 up  6:33,  3 users,  load average: 0.00, 0.00, 0.00
USER     TTY      FROM              LOGIN@   IDLE   JCPU   PCPU WHAT
jason    pts/1    192.168.0.1      19:32    0.00s  0.77s  0.01s login -- jason
root     tty1     :0               19:43    7:10m 13.13s 13.13s /usr/bin/Xorg :0
root     pts/2    :0.0             19:44    2:55m  0.00s  0.00s /bin/bash
[root@test2 ~]#

12-8-2程序日志

• 在linux系统中，还有相当一部分应用程序并没有使用rsyslog服务来管理日志，而是由程序自己维护日志记录
  • 例如，httpd网站服务程序使用两个日志文件access_log和error_log，分别记录客户访问事件、错误事件
• 由于不同应用程序的日志记录格式差别较大，并没有严格使用同一的格式，这里不再详细介绍

12-8-3日志分析注意事项

用户在非常规的时间登录，或者用户登录系统的IP地址和以往的不一样 用户登录失败的日志记录，尤其是那些一再连续尝试进入失败的日志记录 非法使用或不正当使用超级用户权限 无故或者非法重新启动各项网络服务的记录 不正常的日志记录，如日志残缺不全，或者是注入wtmp这样的日志文件无故缺少了中间记录文件