下面是该日志文件的片段:引用:Sep 4 17:23:52 UNIX sendmail[1950]:g 849 NPP 01950:from=root,size=25,class=0,nrcpts=1,msgid=200209040923。g 849 NPP 01950 @红帽。pfcc。com。cn,relay=root @ localhostSep 4 17:23:55 UNIX sendmail[1950]:g 849 NPP 01950:to=lzy @ fcceec . net,cth该日志文件是许多进程日志文件的汇总,
诸如bin、daemon、adm、uucp和mail之类的系统帐户绝对不能登录。如果发现这些账号被登录过,就说明系统可能被入侵了。如果发现记录的时间不是用户最后一次登录的时间,说明用户的账号已经泄露。
/var/log/wtmp该日志文件永久记录每个用户的登录和注销以及系统的启动和关闭事件。所以随着系统正常运行时间的增加,文件的大小会越来越大,增加的速度取决于系统用户登录的次数。
该日志文件可用于查看用户的登录记录。最后一个命令可以通过访问这个文件获得这些信息,并以相反的顺序从后向前显示用户的登录记录。last还可以根据用户、终端tty或时间显示相应的记录。
last命令有两个可选参数:last -u用户名显示用户的最后一次登录。Last -t days显示指定天数之前的用户登录。
/var/run/utmp该日志文件记录当前登录的每个用户的信息。因此,该文件会随着用户登录和注销系统而不断变化。它只保留当时在线的用户的记录,不会为用户保留永久记录。
系统中需要查询当前用户状态的程序,比如who,W,users,finger,都需要访问这个文件。日志文件不能包含所有准确的信息,因为一些突然的错误会终止用户登录会话。
但是系统没有及时更新utmp记录,所以这个日志文件的记录不是100%可信的。
上面提到的三个文件(/var/log/wtmp,/var/run/utmp,/var/log/lastlog)是日志子系统的关键文档,都是记录用户登录的。这些文件中的所有记录都包含时间戳。
这些文件是以二进制保存的,所以不能用less、cat等命令直接查看这些文件,需要使用相关命令通过这些文件查看。其中,utmp和wtmp文件的数据结构是相同的。
而Lastlog文件则使用另一种数据结构,其具体的数据结构可以通过man命令查询。每次用户登录时,登录程序都会在文件lastlog中查看用户的UID。如果它存在,
然后将用户的上次登录、注销时间和主机名写入标准输出,然后登录程序在lastlog中记录新的登录时间,打开utmp文件并插入用户的utmp记录。在用户登录和注销之前,此记录已被删除。
Utmp文档被各种命令使用,包括who、W、users和finger。接下来,登录程序打开文件wtmp并附加用户的utmp记录。当用户登录和注销时,带有更新时间戳的相同utmp记录被附加到该文件。
wtmp文件由程序最后使用。/var/log/xferlog该日志文件记录FTP会话,并可以显示用户将哪些文件复制到FTP服务器或从FTP服务器复制了哪些文件。
这个文件会显示用户复制到服务器上入侵服务器的恶意程序,以及用户复制了哪些文件供他使用。文件的格式是:第一个字段是日期和时间,
第二个字段是下载文件所用的秒数、远程系统名、文件大小、本地路径名、传输类型(a: ASCII,b: binary)、与压缩相关的标志或tar,
或者' _ '(如果没有压缩的话),传输方向(相对于服务器:I代表传入,O代表传出),访问方式(A:匿名,G:密码输入,R:真实用户),用户名,服务名(一般是ftp),认证方式(L: RFC 931,或者0),
已验证用户的ID或“*”。以下是此文件的记录:参考:Wed Sep 4。
