计算机系统日志

  声明:百科词条人人可编辑,词条创建和修改均免费,绝不存在官方及代理商付费代编,请勿上当受骗。详情

  计算机系统日志:在现代社会里,为了维护自身系统资源的运行状况,计算机系统一般都会有相应的日志记录系统有关日常事件或者误操作警报的日期及时间戳信息。这些日志信息对计算机犯罪调查人员非常有用。

  所谓日志(Log)是指系统所指定对象的某些操作和其操作结果按时间有序的集合。每个日志文件由日志记录组成,每条日志记录描述了一次店汽单独的系统事件。通常情况下,系统日志是用户可以直接阅读的文本文件,其中包含了一个时间戳和一个信息或者子系统所特有的其他信息。

  日志文件为服务器、工作站、防火墙和应用软件等IT资源相关活动记录必要的、有价值的信息,这对系统监控、查询、报表和安全审计是十分重要的。日志文件中的记录可提供以下用途:监控系统资源;审计用户行为;对可疑行为进行告警;确定入侵行为的范围;为恢复系统提供帮助;生成调查报告;为打击计算机犯罪提供证据来源。

  虽然大部分系统的日志都以文本的形式记录,但由于各系统日志格式不一致,不熟悉各类日志格式就很难获取有用的信息。同时有相当部分应用系统并不采用文本格式记录着日志信息,必须借助专用的工具分析这些日志,否则很难读懂其中的日志信息。

  通常对外服务产生的日志文件如Web服务日志、防火墙入侵检测系统日志和数据库日志以及各类服务器日志等都很大,一个日志文件一天产生的容量少则几十兆、几百兆,多则有几个G,几十个G,这使得获取和分析日志信息变得很困难。

  由于网络中不同的操作系签悼页统、应用软件、网络设备和服务产生不同的日志文件,即使相同的服务如IIS也可采用不同格式的日志文件记录日志信息。国际上还没有形成标准的日志格式,各系统开发商和网络设备生产商往往根据各自的需要制定自己的日志格式,使得不同系统的日志格式和存储方式有所差别。如何获取各类不同系统产生的不同日志文件作为打击计算机犯罪者的电子证据变得尤为困难。

  一个系统的日志是对本系统涉及的运行状况的信息按时间顺序作一简单的记录,仅反映本系统的某些特定糊旬乎事件的操作情况,并不完全反映某一用户的整个活动情况。一个用户在网络活动的过程中会在很多的系颂懂茅统日志中留下痕迹,如防火墙IDS日志、操作系统日志等,这些不同的日志之间存在某种必然的联系来反映用户的活动情况。只有将多个系统的日志结合起来分析,才能准确反映用户活动情况。

  产生系统日志的软件通常为应用系统而不是作为操作系统的子系统运行,所产生的日志记录容易遭到恶意的破坏或修改。系统日志通常存储在系统未经保护誉您判寒的目录中,并以文本方式存储,未经加密和校验处理,没有提供防止恶意篡改的有效保护机制。因此,日志文件并不一定是可靠的,入侵者可能会篡改日祖陵希纸志文件,从而不能被视为有效的证据。由于日志是直接反映入侵者痕迹的,在计算机取证中扮演着重要的角色,入侵者获取系统权限窃取机密信息或破坏重要数据后往往会修改或删除与其相关的日志信息,甚至根据系统的漏洞伪造日志以迷惑系统管理员和审计。

  以Windows2000/XP为例,日志文件通常有应用程序日志,安全日志、系统日志、DNS服务器日志、FTP日志、志等等。 日志文件默认位置: 应用程序日志、安全日志、系统日志、DNS日志默认位置:%sys temroot%\sys tem32\config,默认文件大小512KB,管理员都会改变这个默认大小。

  安全日志文件:%sys temroot%\sys tem32\config\SecEvent.EVT

  系统日志文件:%sys temroot%\sys tem32\config\SysEvent.EVT

  应用程序日志:%sys temroot%\sys tem32\config\AppEvent.EVT

  Internet信息服务FTP日志默认位置:%sys temroot%\sys tem32\logfiles\msftpsvc1\

  默认每天一个日志 Internet信息服务WWW日志默认位置:%sys temroot%\sys tem32\logfiles\w3svc1\

  默认每天一个日志 Scheduler服务日志默笑采蒸认位置:%sys temroot%\schedlgu.txt

  HKEY_LOCAL_MACHINE\sys tem\CurrentControlSet\Services\Eventlog

  有的管理员很可能将这些日志重定位。其中EVENTLOG下面有很多的子表,里面可查到以上日志的定位目录。

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent

  记录由应用程序产生的事件。例如,某个数据库程序可能设定为每次成功完成备份操作后都向应用程序日志发送事件记录信息。应用程序日志中记录的时间类型由应用程序的开发者决定,并提供相应的系统工具帮助用户使用应用程序日志。

  记录由Windows NT/2000操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows NT/2000操作系统预先定义。

  记录与安全相关事件,包括成功和不成功的登录或退出、系统资源使用事件等。与系统日志和应用程序日志不同,安全日志只有系统管理员才可以访问。

  Windows NT/2000的系统日志由事件记录组成。每个事件记录为三个功能区:记录头区、事件描述区和附加数据区。

  syslog采用可配置的、统一的系统登记程序,随时从系统各处接受log请求,然后根据f中的预先设定把log信息写入相应文件中、邮寄给特定用户或者直接以消息的方式发往控制台。值得注意的是,为了防止入侵者修改、删除messages里的记录信息,可以采用用打印机记录或跨越网络登记的方式来挫败入侵者的企图。

  任何程序都可以通过syslog记录事件。Syslog可以记录系统事件,可以写到一个文件或设备中,或给用户发送一个信息。它能记录本地事件或通过网络记录到另一台主机上的事件。

  Syslog依据两个重要的文件:/sbin/syslogd(守护进程)和/etc/syslog.conf配置文件。习惯上,多数syslog信息被写到/var/adm或/ar/log目录下的信息文件中(*message.)。一个典型的syslog记录包括生成程序的名字和一个文本信息,它还包括一个设备和一个行为级别(但不在日志中出现)。

  /var/log/secure:登录到系统存取资料的记录;FTP、SSH、TELNET...

  Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name

  logrotate.conf 才是主要配置文件,而/logrotate.d /这个目录内的所有文件都被读入 /etc/logrotate.conf来执行!

  如果在 /etc/logrotate.d/ 目录文件中,没有相应的细节设定则以 /etc/logrotate.conf 设定为缺省值!

  /var/log/messages /var/log/secure /var/log/maillog /var/log/spooler

  /bin/kill -HUP `cat /var/run/syslogd.pid 2 /dev/null` 2 /dev/null true

  而logrotate的工作加入到 crontab /etc/cron.daily/logrotate;所以系统每天自动查看

  Oct 24 15:15:35 localhost syslogd 1.4.1: restart.

  [ ~]# mv /var/log/admin.log /var/log/admin.log.1

  mv: cannot move /var/log/admin.log to /var/log/admin.log.1:permission deny

  # This configuration is from VBird 2005/10/24

  rotating pattern: /var/log/admin.log 10485760 bytes (5 rotations)

  empty log files are rotated, old logs are removed

  not running shared prerotate script, since no logs will be rotated

  也就是说: /etc/syslog.conf 与/etc/logrotate.d/* 对应文档搭配起来使用;先由syslogd 按照syslog.conf指定的方法处理消息,

  dmtsai2 pts/2 Mon Oct 24 14:18 - 14:18 (00:00)

  dmtsai2 work:0 work Mon Oct 24 14:18 gone - no logout

  dmtsai2 work:0 work Mon Oct 24 14:18 - 14:18 (00:00)

  dmtsai2 pts/2 Mon Oct 24 14:18 - 14:18 (00:00)

  dmtsai2 work:0 work Mon Oct 24 14:18 - 14:18 (00:00)

标签:

相关文章