当前位置:   article > 正文

Linux系统日志审计_linux执行服务都显示超时

linux执行服务都显示超时

日志子系统

在Linux系统中,有三个主要的日志子系统:

1.连接时间日志

登陆系统的时间和IP
记录文件:/var/log/wtmp/var/run/utmplogin

auth.log / secure SSH登录日志

auth.log:
会记录ssh登陆的IP和端口

cat auth.log |grep Accepted
  • 1

在这里插入图片描述

SSH登录日志 : secure(CentOS)或者auth.log(Ubuntu)

https://blog.51cto.com/winhe/2114533

2.进程统计

由系统内核执行,当一个进程终止时,为每个进程往进程统计文件(pacct或acct)中写一个纪录,进程统计的目的是为系统中的基本服务提供命令使用统计。

当用户发现最近服务器有异常时,可以开启进程监视统计功能,所有记录信息会写入/var/log/account/pacct和/var/log/account/acct中
启动:accton /var/log/account/pacct或者accton on
显示进程统计:lastcomm
停止进程统计:accton

sa |more  
用于报告,清理并维护进程统计日志,将/var/account/pacct的日志文件压缩到/var/log/savacc和/var/log/usracc文件中,其中savacc是基于命令名称索引的,而usracc基于用户名进行索引的
其中re:实例时间,分钟为单位
   CP:表示系统和用户的使用时间,分钟为单位
sa -u |grep root|more
显示root用户的进程数和使用命令所占用CPU及系统的时间
sa -m 
显示每个用户的进程数量和CPU数
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13

在这里插入图片描述
lastcomm
在这里插入图片描述
sa -u
在这里插入图片描述
sa -m
在这里插入图片描述

3.错误日志

由syslogd(8)执行。各种系统守护进程、用户程序和内核通过syslog(3)向文件/var/log/messages报告值得注意的事件。


其他日志

其他程序如中间件、FTP 也会生成日志,常用的日志文件如下:

access.log 记录HTTP/web的传输
acct/pacct 纪录用户命令
aculog 纪录MODEM的活动
messages 从syslog中记录信息(有的链接到syslog文件)
sudolog 纪录使用sudo发出的命令
sulog 纪录使用su命令的使用
syslog 从syslog中记录信息(通常链接到messages文件)
记录服务器曾经同步时间的 网络时间协议(NTP)服务器 的网络地址IP
btmp 登陆失败的纪录
utmp 纪录当前登录的每个用户
wtmp 一个用户每次登录进入和退出时间的永久纪录
lastlog 纪录最近几次成功登录的事件和最后一次不成功的登录
xferlog 纪录FTP会话
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13


安装日志

/var/log/installer/installer-journal.txt

特别是搭lvm的时候会有记录
在这里插入图片描述

参考文章:
https://www.hacking8.com/MiscSecNotes/linux-check-pentest.html

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/盐析白兔/article/detail/573299
推荐阅读
相关标签
  

闽ICP备14008679号