本文关键词:电子数据取证、电子取证、计算机取证工具
前言:
日记数据可以是有代价的信息宝库,也可以是毫无代价的数据泥潭。它可以记载下体系所产生的所有行为,并按照某种规范表达出来。我们可以使用日记体系所记载的信息为体系进行排错,优化体系的性能,大概根据这些信息调整体系的行为。收集你想要的数据,分析出有代价的信息,可以进步体系、产物的安全性,可以帮助开发美满代码,优化产物。日记会成为在变乱发生后查明“发生了什么”的一个很好的“取证”信息泉源。日记可以为审计进行审计跟踪。
◆/var/log/boot.log
该文件记载了体系在引导过程中发生的事件,就是Linux体系开机自检过程体现的信息。
◆/var/log/cron
该日记文件记载crontab守护进程crond所派生的子进程的动作,前面加上用户、登录时间和PID,以及派生出的进程的动作。CMD的一个动作是cron派生出一个调理进程的常见情况。REPLACE(替换)动作记任命户对它的cron文件的更新,该文件列出了要周期性实验的使命调理。RELOAD动作在REPLACE动作后不久发生,这意味着cron留意到一个用户的cron文件被更新而cron必要把它重新装入内存。该文件可能会查到一些反常的情况。
◆/var/log/maillog
该日记文件记载了每一个发送到体系或从体系发出的电子邮件的活动。它可以用来查看用户使用哪个体系发送工具或把数据发送到哪个体系。
该文件的格式是每一行包罗日期、主机名、程序名,背面是包罗PID或内核标识的方括号、一个冒号和一个空格,末了是消息。该文件有一个不足,就是被记载的入侵计划和乐成的入侵事件,被沉没在大量的正常进程的记载中。但该文件可以由/etc/syslog文件进行定制。由/etc/syslog.conf配置文件决定体系如何写入/var/messages。有关如何配置/etc/syslog.conf文件决定体系日记记载的行为,将在背面详细叙述。
◆/var/log/syslog
默认RedHat Linux不天生该日记文件,但可以配置/etc/syslog.conf让体系天生该日记文件。它和/etc/log/messages日记文件差别,它只记载警告信息,常常是体系出题目的信息,以是更应该关注该文件。要让体系天生该日记文件,在/etc/syslog.conf文件中加上:*.warning /var/log/syslog 该日记文件能记载当用户登录时login记载下的错误口令、Sendmail的题目、su命令实验失败等信息。
该日记文件记载近来乐成登录的事件和末了一次不乐成的登录事件,由login天生。在每次用户登录时被查询,该文件是二进制文件,必要使用lastlog命令查看,根据UID排序体现登录名、端口号和前次登录时间。如果某用户从来没有登录过,就体现为"**Never logged in**"。该命令只能以root权限实验。
体系账户诸如bin、daemon、adm、uucp、mail等决不应该登录,如果发现这些账户已经登录,就说明体系可能已经被入侵了。若发现记载的时间不是用户前次登录的时间,则说明该用户的账户已经泄密了。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
