FreeBSD 系统日志

体例日记 体例的日记记载供给了对体例震动的精细审批，那些日记用来评价、查看体例的运转情况和百般操纵。对于普遍情景，日记记载囊括记委派户登录功夫、登录场所、举行什么操纵等实质，即使运用适合，日记记载能向体例处置员供给相关妨害安定的侵吞或侵犯试图等特殊有效的消息。 bsd供给了精细的百般日记记载，以及相关日记的洪量东西和适用步调。那些审批记载常常由步调机动爆发，是缺省树立的一局部，不妨扶助unix处置员来探求体例中生存的题目，对体例保护格外有效。再有另少许日记记载，须要处置员举行树立本领奏效。大局部日记记载文献被生存在/var/log目次中，在这个目次中除去生存体例天生日记除外，还囊括少许运用软硬件的日记文献。固然/var目次下的其余子目次中也会记载下少许其余品种的日记记载文献，这依附于简直的运用步调的树立。

quote:

$ ls /var/log adduser maillog.5.gz sendmail.st.1 dmesg.today maillog.6.gz sendmail.st.10 dmesg.yesterday maillog.7.gz sendmail.st.2 httpd-access.log messages sendmail.st.3 httpd-error.log messages.0.gz sendmail.st.4 kerberos.log messages.1.gz sendmail.st.5 lastlog messages.2.gz sendmail.st.6 lpd-errs messages.3.gz sendmail.st.7 maillog messages.4.gz sendmail.st.8 maillog.0.gz messages.5.gz sendmail.st.9 maillog.1.gz news setuid.today maillog.2.gz ppp.log setuid.yesterday maillog.3.gz sendmail.st userlog maillog.4.gz sendmail.st.0 wtmp

1) 体例登录日记 体例会生存每个用户的登录记载，那些消息囊括这个用户的名字、登录开始中断功夫以及从何处登录入体例的之类。它们被生存到 /var/log/lastlog、/var/log/wtmp和/var/run/utmp文献中，这三个文献以二进制方法生存了那些用户的登录数据。 个中 /var/run/utmp文献中生存的是暂时体例用户的登录记载，所以这个文献会跟着用户加入和摆脱体例而连接变革，而它也不会为用户保持很长的记载，只保持其时联机的用户记载。体例中须要查问暂时用户状况的步调，如who、w等就须要考察这个文献。utmp大概不囊括一切透彻的消息，某些爆发错误解中断用户登录对话，当没有准时革新utmp记载，所以utmp的记载不是百分之百的不妨信任的。 而 /var/log/wtmp生存了一切的登录、退出消息，以及体例的启用、停机记载，所以跟着体例平常运转功夫的减少，它的巨细也会越来越大，减少的速率依附于体例用户登录度数。所以不妨运用这个日记用来察看用户的登录记载，last吩咐就经过考察这个文献来赢得那些消息，并以反序从后向前表露用户的登录记载，last也能按照用户、结尾tty或功夫表露相映的记载。ac吩咐同样也运用wtmp中的数据爆发汇报，但它的表露办法各别。它不妨按照用户（ac -p），或按日子（ap -d）表露消息，如许处置员就能赢得少许特殊有效的失常消息，如一个平常不太活泼的用户遽然登录并贯穿很长功夫，就有来由质疑这个帐户被夺取了。 提防： x window因为会同声翻开多个结尾窗口，所以会使得用户登录贯穿功夫赶快减少。 lastlog文献生存的是每个用户的结果一次登录消息，囊括登录功夫和场所，这个文献普遍惟有login步调运用，经过用户的uid，来在lastlog文献中搜索相映记载，而后汇报其结果一次登录功夫和结尾tty。而后，login步调就运用新的记载革新这个文献。 这三个文献是运用二进制方法生存的，所以不许径直察看个中的实质，而须要运用关系吩咐。固然也不妨经过步调来考察这三个文献，这就须要领会它们运用的数据构造。个中 utmp和wtmp运用同样的数据构造，而lastlog运用其余一个数据构造，可运用man来举行查问简直构造。即使体例的用户数目很多，那么wtmp文献的巨细会赶快减少，在体例/var文献体例空间重要的情景下，就引导这个文献体例被占满。体例不会积极遏制这个文献的巨细，所以这须要处置员的干涉，须要细工准时废除，或编写shell剧本按期生存和废除。 体例还不妨供给记账统计的功效，要翻开体例的计账功效，须要运用 accton吩咐，提防，accton必需伴随记账日记文献的名字作参数，而不带参数的accton将封闭记账过程。 当翻开了记账功效后，不妨运用 lastcomm来查看在体例中实行的一切吩咐的消息，囊括实行的吩咐、实行吩咐的用户、用户运用的结尾tty，吩咐实行的功夫，实行功夫等。从lastcomm的输入也能扶助处置员查看大概的侵犯动作。 其余不妨运用 ac吩咐来查问用户的贯穿功夫的汇报，sa吩咐来查问用户耗费的处置器功夫的汇报。 2) syslog 日记记载首先， syslog不过为了sendmail而安排的动静日记东西，因为它供给了一个重心遏制点，使得syslog特殊好用和易摆设，所以现在很多步调都运用syslog来发送它们的记载消息。syslog是一种宏大的日记记载办法，不只不妨将日记生存在当地文献中，还不妨按照树立将syslog记载发送给搜集上的另一台长机中。 扶助 syslog办法的体例启用了syslogd保护过程，这个步调从当地的unix套接字和监听在514端口（udp）上的internet套接字，来赢得syslog的记载。本机中过程运用syslog体例挪用发送来syslog记载，而后由syslogd将她们生存到精确的文献或发送给搜集上另一台运转syslogd长机中去。 syslogd的树立文献为/etc/syslog.conf，设置动静对应的相映目的，一条动静不妨到达多个目的，也大概被忽视。

quote:

# $id: syslog.conf,v 1.9 1998/10/14 21:59:55 nate exp $ # # spaces are not valid field separators in this file. # consult the syslog.conf(5) manpage. *.err;kern.debug;auth.notice;mail.crit /dev/console *.notice;kern.debug;lpr.info;mail.crit;news.err /var/log/messages mail.info /var/log/maillog lpr.info /var/log/lpd-errs cron.* /var/cron/log *.err root *.notice;news.err root *.alert root *.emerg * !ppp *.* /var/log/ppp.log

syslog.conf的摆设不妨分为两个局部，第一局部用来辨别动静的典型，另一个用来树立动静发送的手段地。常常，动静的典型囊括动静的爆发者，比方kern表白内核爆发的动静，auth表白认证体例爆发的动静，之类，还囊括动静的级别，比方emerg表白特殊要害的重要消息，alert表白体例报警状况，crit表白要害状况，err表白普遍的缺点消息，warning表白劝告消息，notice表白提醒消息，但还不是缺点，info表白普遍消息，debug表白调节和测试消息等，所以一个动静的典型大概为：kern.debug、mail.info等，但页不妨运用通配符*举行配合。 从上头的 syslog.conf的树立不妨看出，体例平常运转中的很多要害的消息，如缺点消息*.err、内核调节和测试消息kern.debuf、认证汇报auth.notice等被径直输入的console中，其余再有少许比拟要害的消息被输入到/var/log/messages文献中，发送邮件的记载将被生存在/var/log/maillog文献中，打图章录为/var/log/lpd-errs等，使得处置员不妨按照那些文献来查问关系记载，举行统计或探求体例题目。个中运用syslog记载的messages文献中囊括root登录的消息、用户屡次登录波折的试验等对体例安定十分要害的消息，所以也是体例蒙受报复之后，报复者会按照syslog.conf中树立试图废除关系文献中本人的登录记载。所以对于安定性诉求更高的体例，不妨试验将syslog发送给另一台计划机上，大概输入到少许摆设文献中，如在打字与印刷机上登时打字与印刷输入。 3) 日记处置 newsyslog体例会运用 newsyslog按期查看syslog输入的messages文献和maillog文献，将旧数据收缩生存为备份文献，如messages.1.gz等。这是一项特殊要害的功效，要不体例日记将连接的延长，直至占满一切磁盘空间。 newsyslog不妨运用两种办法来处置日记文献，一种是按期处置日记，另一种为依照树立的巨细处置日记，而后不妨天生多个日记备份文献。它的摆设文献为/etc/newsyslog.conf，体例处置员不妨按照这边的已有摆设，增添对本人的日记文献的处置。 4) 其余日记除去体例登录记载和 syslog记载除外，其余再有少许运用步调运用本人的记载办法。 体例每天城市机动查看体例的安定树立，囊括对 setuid、setgid的实行文献的查看，其截止将输入到/var/log/security.today文献中，处置员不妨与/var/log/security.yesterday文献比较，探求体例安定树立的变革。 即使体例运用 sendmail，那么sendmail.st文献中以二进制情势生存了sendmail的统计消息。 在体例启用的功夫，就将内核的检验和测定消息输入到屏幕上，那些消息不妨扶助用户领会体例中的硬件状况。普遍运用 dmesg吩咐来察看结果一次启用时输入的这个检验和测定消息。这个消息也被体例生存在/var/log/dmesg.today文献中，体例中同声也生存另一个文献dmesg.yesterday，是上回的启用检验和测定消息，比较这两个文献，就不妨领会到体例硬件和内核摆设的变革。 lpd-errs记载了体例中lpd爆发的缺点消息。 其余，百般 shell还会记委派户运用的吩咐汗青，它运用用户主目次下的文献来记载那些吩咐汗青，常常这个文献的名字为.history（csh），或.bash-history等。