怎样擦NT和UINX系统的LOG日志文

倒序浏览 · 发表于 2002-9-13 17:10:53

怎样擦屁股----NT和UINX系统的LOG日志文 　　我知道很多人很希望防止你侵入的电脑追踪你，这篇文章主要讲的有关这些问题的一些解答。网管主要靠系统的LOG即我们时常所说的日志文件来获得侵入的痕迹及你进来的IP或其他信息。当然也有些网管使用第三方工具来记录侵入他电脑的痕迹，这里主要要讲的是一般系统里记录你踪迹的文件。 ========================================= WELL，那到底这些LOG日志文件放在哪里呢？ ======================================== 这主要依靠的是你所进入的UNIX系统系统，各个系统有些不同的LOG文件，但大多数都应该 有差不多的位置，最普通的位置就是下面的这几个位置 ----/usr/adm - 早期版本的UNIX ----/var/adm - 新一点的版本使用这个位置 ----/var/log - 一些版本的Solaris,Linux BSD,Free BSD使用这个位置 ----/etc - 大多数UNIX版本把utmp放在此处，一些也把wtmp放在这里,这也是syslog.conf的位置 下面的一些文件耕具你所在的目录不同而不同： acct 或 pacct -- 记录每个用户使用的命令记录 access_log -- 主要使用来服务器运行了NCSA HTTPD, 这记录文件会有什么站点连接过你的服务器. aculog -- 保存着你拨出去的MODEMS记录 lastlog -- 记录了用户最近的LOGIN记录和每个用户的最初目的地，有时是最后不成功LOGIN的记录 loginlog -- 记录一些不正常的LOGIN记录 messages -- 记录输出到系统控制台的记录，另外的信息 由syslog来生成 security -- 记录一些使用UUCP系统企图进入限制范围的事例 sulog -- 记录使用su命令的记录 utmp -- 记录当前登录到系统中的所有用户 这个文件伴随着用户进入和离开系统而不断变化. utmpx -- UTMP的扩展 wtmp -- 记录用户登录和退出事件 syslog -- 最重要的日志文件，使用syslogd守护程序来获得 日志信息： /dev/log -一个UNIX域套接字，接受在本地机器上运行的进程所产生的消息 /dev/klog - 一个从UNIX内核接受消息的设备514端口 - 一个INTERNET套接字，接受其他机器 通过UDP产生的syslog消息。 uucp -- 记录的UUCP的信息，可以被本地UUCP活动更新，也 可有远程站点发起的动作修改，信息包括发出和接受的呼叫，发出的肭螅?⑺驼撸?⑺褪奔浜头⑺椭骰? lpd-errs -- 处理打印机故障信息的日志 ftp日志 -- 执行带-l选项的ftpd能够获得记录功能 httpd日志 -- HTTPD服务器在日志中记录每一个WEB访问记录 history日志 -- 这个文件保存了用户最近输入命令的记录 vold.log -- 记录使用外接媒介时遇到的错误记?-=-=-=-=-=-=-=-=-=-=-=-=- 其他类型的日志文件- -=-=-=-=-=-=-=-=-=-=-=-=- 有些类型的LOG文件没有特定的标题，但开始于一个特定的标志，你可以在前面头发现 如下的标志，这就一般表示此是个LOG日志文件，你就可以编辑它了： xfer -- 表明试图一个禁止的文件传输. rexe -- 表明试图执行一个不允许的命令 还有许多其他其他类型的LOG文件存在,主要是第三方软件引起的,或者甚至他妈的网管 自己有设置了一只"眼睛"在他的系统上，所以你要对你认为可能是LOG文件的文件多一份 心眼。许多管理员喜欢把日志文件放在同一个目录中以便管理，所以你要检查你发现的 LOG文件所在的目录中，是否有其他日志文件放在这里，如果有,咯，你知道怎么做。 另一个你要注意的是有关LOG用户MAIL的文件，此文件名可以多种多样，或则有时是 syslog文件的一部分。你要知道syslog记录那些信息，你可以查看syslog.conf中的信息 此文件的目录是在/etc中 ====================== Windows NT的审计跟踪 ====================== 几乎WINDOWS NT系统中的每一项事务都可以在一定程度上被审计，在WINDOWS NT中可以在两个地方打开审计-EXPLORER 和USER MANAGER，在EXPLORER中，选择Securtiy，再选择Auditing以几乎Directory Auditing对话框，系统管理员可以在这个窗口选择跟踪有效的和无效的文件访问，在USER MANAGER中，系统管理员可以根据各种用户事件的成功和失败选择审计策略，如登录和退出，文件访问，权限非法和关闭系统等。 WINDOWS NT是使用一种特殊的格式存放它的日志文件，这种格式的文件可以被事件查看器EVENT VIEWER读取。事件查看器可以在ADMINISTRATIVE TOOL程序组中找到。系统管理员可以使用事件查看器的Filter选项根据一定条件选择要查看的日志条目，查看条件包括类别，用户和消息类型。 WINDOWS NT 在三个分开的日志文件存放审计信息： --Application Log-文件包括用NT SECURITY AUTHORITY注册的应用程序产生的信息。 --Security Log-包括有关通过NT可识别安全提供者和客户的系统访问信息。 --System Log包含所有系统相关事件的信息。 WINDOWS NT FTP连接的日志： WINDOWS NT可以记录入境的FTP连接，在注册表中进行了修改后，你可以是否记录由匿名的，正常用户或者两种用户建立的连接，可以在事件查看器中查看这些日志条目。 WINDOWS NT的HTTPD事务： 系统管理员可以使用NT的HTTPD服务在日志中记录对特定文件的访问企图。可以在控制面板的HTTPD配置工具中选择一个激活日志功能特性。 -=-=-=-=-=- 后言 -=-=-=-=-=- 到此位置你应该对日志文件有所了解，你要很好的防止你被人家跟踪，对这些日志的做一些手脚是比不可少的，但你侵入人家的主机时，你要想想有没有作好善后工作。当然，就象我一个朋友所说的：我现在不改动日志，干脆删掉，不也快哉！