成功地管理任何系统的关键之一，是要知道系统中正在发生什么事。 Linux 中提供了异常日志，并且日志的细节是可配置的。 Linux 日志都以明文形式存储，所以用户不需要特殊的工具就可以搜索和阅读它们。还可以编写脚本，来扫描这些日志，并基于它们的内容去自动执行某些功能。 Linux 日志存储在 /var/log 目录中。这里有几个由系统维护的日志文件，但其他服务和程序也可能会把它们的日志放在这里。大多数日志只有 root 账户才可以读，不过修改文件的访问权限就可以让其他人可读。

　　 RedHat Linux 常用的日志文件

　　 RedHat Linux 常见的日志文件详述如下

　　 /var/log/boot.log

　　该文件记录了系统在引导过程中发生的事件，就是 Linux 系统开机自检过程显示的信息。

　　 /var/log/cron

　　该日志文件记录 crontab 守护进程 crond 所派生的子进程的动作，前面加上用户、登录时间和 PID ，以及派生出的进程的动作。 CMD 的一个动作是 cron 派生出一个调度进程的常见情况。 REPLACE （替换）动作记录用户对它的 cron 文件的更新，该文件列出了要周期性执行的任务调度。 RELOAD 动作在 REPLACE 动作后不久发生，这意味着 cron 注意到一个用户的 cron 文件被更新而 cron 需要把它重新装入内存。该文件可能会查到一些反常的情况。

　　 /var/log/maillog

　　该日志文件记录了每一个发送到系统或从系统发出的电子邮件的活动。它可以用来查看用户使用哪个系统发送工具或把数据发送到哪个系统。下面是该日志文件的片段：

QUOTE:

Sep 4 17:23:52 UNIX sendmail[1950]: g849Npp01950: from=root, size=25,

class=0, nrcpts=1,

msgid=<200209040923.g849Npp01950@redhat.pfcc.com.cn>,

relay=root@localhost

Sep 4 17:23:55 UNIX sendmail[1950]: g849Npp01950: to=lzy@fcceec.net,

ctladdr=root (0/0), delay=00:00:04, xdelay=00:00:03, mailer=esmtp, pri=30025,

relay=fcceec.net. [10.152.8.2], dsn=2.0.0, stat=Sent (Message queued)

/var/log/messages

　　该日志文件是许多进程日志文件的汇总，从该文件可以看出任何入侵企图或成功的入侵。如以下几行：

QUOTE:

Sep 3 08:30:17 UNIX login[1275]: FAILED LOGIN 2 FROM (null) FOR suying,

Authentication failure

Sep 4 17:40:28 UNIX -- suying[2017]: LOGINON pts/1 BY suying FROM

fcceec.www.ec8.pfcc.com.cn

Sep 4 17:40:39 UNIX su(pam_unix)[2048]: session opened for user root by suying(uid=999)

　　该文件的格式是每一行包含日期、主机名、程序名，后面是包含 PID 或内核标识的方括号、一个冒号和一个空格，最后是消息。该文件有一个不足，就是被记录的入侵企图和成功的入侵事件，被淹没在大量的正常进程的记录中。但该文件可以由 /etc/syslog 文件进行定制。由 /etc/syslog.conf 配置文件决定系统如何写入 /var/messages 。有关如何配置 /etc/syslog.conf 文件决定系统日志记录的行为，将在后面详细叙述。

　　 /var/log/syslog

　　默认 RedHat Linux 不生成该日志文件，但可以配置 /etc/syslog.conf 让系统生成该日志文件。它和 /etc/log/messages 日志文件不同，它只记录警告信息，常常是系统出问题的信息，所以更应该关注该文件。要让系统生成该日志文件，在 /etc/syslog.conf 文件中加上： *.warning /var/log/syslog 　　该日志文件能记录当用户登录时 login 记录下的错误口令、 Sendmail 的问题、 su 命令执行失败等信息。下面是一条记录：

QUOTE:

Sep 6 16:47:52 UNIX login(pam_unix)[2384]: check pass; user unknown

/var/log/secure

该日志文件记录与安全相关的信息。该日志文件的部分内容如下：

QUOTE:

Sep 4 16:05:09 UNIX xinetd[711]: START: ftp pid=1815 from=127.0.0.1

Sep 4 16:05:09 UNIX xinetd[1815]: USERID: ftp OTHER :root

Sep 4 16:07:24 UNIX xinetd[711]: EXIT: ftp pid=1815 duration=135(sec)

Sep 4 16:10:05 UNIX xinetd[711]: START: ftp pid=1846 from=127.0.0.1

Sep 4 16:10:05 UNIX xinetd[1846]: USERID: ftp OTHER :root

Sep 4 16:16:26 UNIX xinetd[711]: EXIT: ftp pid=1846 duration=381(sec)

Sep 4 17:40:20 UNIX xinetd[711]: START: telnet pid=2016 from=10.152.8.2

/var/log/lastlog

　　该日志文件记录最近成功登录的事件和最后一次不成功的登录事件，由 login 生成。在每次用户登录时被查询，该文件是二进制文件，需要使用 lastlog 命令查看，根据 UID 排序显示登录名、端口号和上次登录时间。如果某用户从来没有登录过，就显示为 "**Never logged in**" 。该命令只能以 root 权限执行。简单地输入 lastlog 命令后就会看到类似如下的信息：

QUOTE:

Username Port From Latest

root tty2 Tue Sep 3 08:32:27 +0800 2002

bin **Never logged in**

daemon **Never logged in**

adm **Never logged in**

lp **Never logged in**

sync **Never logged in**

shutdown **Never logged in**

halt **Never logged in**

mail **Never logged in**

news **Never logged in**

uucp **Never logged in**

operator **Never logged in**

games **Never logged in**

gopher **Never logged in**

ftp ftp UNIX Tue Sep 3 14:49:04 +0800 2002

nobody **Never logged in**

nscd **Never logged in**

mailnull **Never logged in**

ident **Never logged in**

rpc **Never logged in**

rpcuser **Never logged in**

xfs **Never logged in**

gdm **Never logged in**

postgres **Never logged in**

apache **Never logged in**

lzy tty2 Mon Jul 15 08:50:37 +0800 2002

suying tty2 Tue Sep 3 08:31:17 +0800 2002

　　系统账户诸如 bin 、 daemon 、 adm 、 uucp 、 mail 等决不应该登录，如果发现这些账户已经登录，就说明系统可能已经被入侵了。若发现记录的时间不是用户上次登录的时间，则说明该用户的账户已经泄密了。

　　 /var/log/wtmp

　　该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件。因此随着系统正常运行时间的增加，该文件的大小也会越来越大，增加的速度取决于系统用户登录的次数。该日志文件可以用来查看用户的登录记录， last 命令就通过访问这个文件获得这些信息，并以反序从后向前显示用户的登录记录， last 也能根据用户、终端 tty 或时间显示相应的记录。

　　命令 last 有两个可选参数：

　　 last -u 用户名 显示用户上次登录的情况。

　　 last -t 天数 显示指定天数之前的用户登录情况。

　　 /var/run/utmp

　　该日志文件记录有关当前登录的每个用户的信息。因此这个文件会随着用户登录和注销系统而不断变化，它只保留当时联机的用户记录，不会为用户保留永久的记录。系统中需要查询当前用户状态的程序，如 who 、 w 、 users 、 finger 等就需要访问这个文件。该日志文件并不能包括所有精确的信息，因为某些突发错误会终止用户登录会话，而系统没有及时更新 utmp 记录，因此该日志文件的记录不是百分之百值得信赖的。

　　以上提及的 3 个文件（ /var/log/wtmp 、 /var/run/utmp 、 /var/log/lastlog ）是日志子系统的关键文件，都记录了用户登录的情况。这些文件的所有记录都包含了时间戳。这些文件是按二进制保存的，故不能用 less 、 cat 之类的命令直接查看这些文件，而是需要使用相关命令通过这些文件而查看。其中， utmp 和 wtmp 文件的数据结构是一样的，而 lastlog 文件则使用另外的数据结构，关于它们的具体的数据结构可以使用 man 命令查询。

　　每次有一个用户登录时， login 程序在文件 lastlog 中查看用户的 UID 。如果存在，则把用户上次登录、注销时间和主机名写到标准输出中，然后 login 程序在 lastlog 中记录新的登录时间，打开 utmp 文件并插入用户的 utmp 记录。该记录一直用到用户登录退出时删除。 utmp 文件被各种命令使用，包括 who 、 w 、 users 和 finger 。

　　下一步， login 程序打开文件 wtmp 附加用户的 utmp 记录。当用户登录退出时，具有更新时间戳的同一 utmp 记录附加到文件中。 wtmp 文件被程序 last 使用。

　　 /var/log/xferlog

　　该日志文件记录 FTP 会话，可以显示出用户向 FTP 服务器或从服务器拷贝了什么文件。该文件会显示用户拷贝到服务器上的用来入侵服务器的恶意程序，以及该用户拷贝了哪些文件供他使用。

　　该文件的格式为：第一个域是日期和时间，第二个域是下载文件所花费的秒数、远程系统名称、文件大小、本地路径名、传输类型（ a ： ASCII ， b ：二进制）、与压缩相关的标志或 tar ，或 "_" （如果没有压缩的话）、传输方向（相对于服务器而言： i 代表进， o 代表出）、访问模式（ a ：匿名， g ：输入口令， r ：真实用户）、用户名、服务名（通常是 ftp ）、认证方法（ l ： RFC931 ，或 0 ），认证用户的 ID 或 "*" 。下面是该文件的一条记录：

QUOTE:

Wed Sep 4 08:14:03 2002 1 UNIX 275531

/var/ftp/lib/libnss_files-2.2.2.so b _ o a -root@UNIX ftp 0 * c

/var/log/kernlog

　　　 RedHat Linux 默认没有记录该日志文件。要启用该日志文件，必须在 /etc/syslog.conf 文件中添加一行： kern.* /var/log/kernlog 。这样就启用了向 /var/log/kernlog 文件中记录所有内核消息的功能。该文件记录了系统启动时加载设备或使用设备的情况。一般是正常的操作，但如果记录了没有授权的用户进行的这些操作，就要注意，因为有可能这就是恶意用户的行为。下面是该文件的部分内容：

QUOTE:

Sep 5 09:38:42 UNIX kernel: NET4: Linux TCP/IP 1.0 for NET4.0

Sep 5 09:38:42 UNIX kernel: IP Protocols: ICMP, UDP, TCP, IGMP

Sep 5 09:38:42 UNIX kernel: IP: routing cache hash table of 512 buckets, 4Kbytes

Sep 5 09:38:43 UNIX kernel: TCP: Hash tables configured (established 4096 bind 4096)

Sep 5 09:38:43 UNIX kernel: Linux IP multicast router 0.06 plus PIM-SM

Sep 5 09:38:43 UNIX kernel: NET4: Unix domain sockets 1.0/SMP for Linux NET4.0.

Sep 5 09:38:44 UNIX kernel: EXT2-fs warning: checktime reached, running e2fsck is recommended

Sep 5 09:38:44 UNIX kernel: VFS: Mounted root (ext2 filesystem).

Sep 5 09:38:44 UNIX kernel: SCSI subsystem driver Revision: 1.00

/var/log/Xfree86.x.log

　　该日志文件记录了 X-Window 启动的情况。另外，除了 /var/log/ 外，恶意用户也可能在别的地方留下痕迹，应该注意以下几个地方： root 和其他账户的 shell 历史文件；用户的各种邮箱，如 .sent 、 mbox ，以及存放在 /var/spool/mail/ 和 /var/spool/mqueue 中的邮箱；临时文件 /tmp 、 /usr/tmp 、 /var/tmp ；隐藏的目录；其他恶意用户创建的文件，通常是以 "." 开头的具有隐藏属性的文件等。

　　具体命令

　　 wtmp 和 utmp 文件都是二进制文件，它们不能被诸如 tail 之类的命令剪贴或合并（使用 cat 命令）。用户需要使用 who 、 w 、 users 、 last 和 ac 等命令来使用这两个文件包含的信息。

　　 who 命令

　　 who 命令查询 utmp 文件并报告当前登录的每个用户。 who 的默认输出包括用户名、终端类型、登录日期及远程主机。例如，键入 who 命令，然后按回车键，将显示如下内容：

QUOTE:

chyang pts/0 Aug 18 15:06

ynguo pts/2 Aug 18 15:32

ynguo pts/3 Aug 18 13:55

lewis pts/4 Aug 18 13:35

ynguo pts/7 Aug 18 14:12

ylou pts/8 Aug 18 14:15

　　如果指明了 wtmp 文件名，则 who 命令查询所有以前的记录。命令 who /var/log/wtmp 将报告自从 wtmp 文件创建或删改以来的每一次登录。

　　 w 命令

　　 w 命令查询 utmp 文件并显示当前系统中每个用户和它所运行的进程信息。例如，键入 w 命令，然后按回车键，将显示如下内容：

QUOTE:

3:36pm up 1 day, 22:34, 6 users, load average: 0.23, 0.29, 0.27

USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT

chyang pts/0 202.38.68.242 3:06pm 2:04 0.08s 0.04s -bash

ynguo pts/2 202.38.79.47 3:32pm 0.00s 0.14s 0.05 w

lewis pts/3 202.38.64.233 1:55pm 30:39 0.27s 0.22s -bash

lewis pts/4 202.38.64.233 1:35pm 6.00s 4.03s 0.01s sh /home/users/

ynguo pts/7 simba.nic.ustc.e 2:12pm 0.00s 0.47s 0.24s telnet mail

ylou pts/8 202.38.64.235 2:15pm 1:09m 0.10s 0.04s -bash

　　 users 命令

　　 users 命令用单独的一行打印出当前登录的用户，每个显示的用户名对应一个登录会话。如果一个用户有不止一个登录会话，那他的用户名将显示相同的次数。例如，键入 users 命令，然后按回车键，将显示如下内容：

QUOTE:

　　 chyang lewis lewis ylou ynguo ynguo

　　 last 命令

　　 last 命令往回搜索 wtmp 来显示自从文件第一次创建以来登录过的用户。例如：

QUOTE:

chyang pts/9 202.38.68.242 Tue Aug 1 08:34 - 11:23 (02:49)

cfan pts/6 202.38.64.224 Tue Aug 1 08:33 - 08:48 (00:14)

chyang pts/4 202.38.68.242 Tue Aug 1 08:32 - 12:13 (03:40)

lewis pts/3 202.38.64.233 Tue Aug 1 08:06 - 11:09 (03:03)

lewis pts/2 202.38.64.233 Tue Aug 1 07:56 - 11:09 (03:12)

　　如果指明了用户，那么 last 只报告该用户的近期活动，例如，键入 last ynguo 命令，然后按回车键，将显示如下内容：

QUOTE:

ynguo pts/4 simba.nic.ustc.e Fri Aug 4 16:50 - 08:20 (15:30)

ynguo pts/4 simba.nic.ustc.e Thu Aug 3 23:55 - 04:40 (04:44)

ynguo pts/11 simba.nic.ustc.e Thu Aug 3 20:45 - 22:02 (01:16)

ynguo pts/0 simba.nic.ustc.e Thu Aug 3 03:17 - 05:42 (02:25)

ynguo pts/0 simba.nic.ustc.e Wed Aug 2 01:04 - 03:16 1+02:12)

ynguo pts/0 simba.nic.ustc.e Wed Aug 2 00:43 - 00:54 (00:11)

ynguo pts/9 simba.nic.ustc.e Thu Aug 1 20:30 - 21:26 (00:55)

　　 ac 命令

　　 ac 命令根据当前的 /var/log/wtmp 文件中的登录进入和退出来报告用户连接的时间（小时），如果不使用标志，则报告总的时间。例如，键入 ac 命令，然后按回车键，将显示如下内容：

QUOTE:

　　 total 5177.47

键入 ac -d 命令，然后按回车键，将显示每天的总的连接时间：

QUOTE:

Aug 12 total 261.87

Aug 13 total 351.39

Aug 14 total 396.09

Aug 15 total 462.63

Aug 16 total 270.45

Aug 17 total 104.29

Today total 179.02

　　键入 ac -p 命令，然后按回车键，将显示每个用户的总的连接时间：

QUOTE:

ynguo 193.23

yucao 3.35

rong 133.40

hdai 10.52

zjzhu 52.87

zqzhou 13.14

liangliu 24.34

total 5178.24

　　 lastlog 命令

　　 lastlog 文件在每次有用户登录时被查询。可以使用 lastlog 命令检查某特定用户上次登录的时间，并格式化输出上次登录日志 /var/log/lastlog 的内容。它根据 UID 排序显示登录名、端口号（ tty ）和上次登录时间。如果一个用户从未登录过， lastlog 显示 **Never logged** 。注意需要以 root 身份运行该命令，例如：