Linux系统日志审计
日志子系统
在Linux系统中,有三个主要的日志子系统:
1.连接时间日志
登陆系统的时间和IP
记录文件:/var/log/wtmp和/var/run/utmp,login
auth.log / secure SSH登录日志
auth.log:
会记录ssh登陆的IP和端口
cat auth.log |grep Accepted
SSH登录日志 : secure(CentOS)或者auth.log(Ubuntu)
https://blog.51cto.com/winhe/2114533
2.进程统计
由系统内核执行,当一个进程终止时,为每个进程往进程统计文件(pacct或acct)中写一个纪录,进程统计的目的是为系统中的基本服务提供命令使用统计。
当用户发现最近服务器有异常时,可以开启进程监视统计功能,所有记录信息会写入/var/log/account/pacct和/var/log/account/acct中
启动:accton /var/log/account/pacct或者accton on
显示进程统计:lastcomm
停止进程统计:accton
sa |more
用于报告,清理并维护进程统计日志,将/var/account/pacct的日志文件压缩到/var/log/savacc和/var/log/usracc文件中,其中savacc是基于命令名称索引的,而usracc基于用户名进行索引的
其中re:实例时间,分钟为单位
CP:表示系统和用户的使用时间,分钟为单位
sa -u |grep root|more
显示root用户的进程数和使用命令所占用CPU及系统的时间
sa -m
显示每个用户的进程数量和CPU数
lastcomm
sa -u
sa -m
3.错误日志
由syslogd(8)执行。各种系统守护进程、用户程序和内核通过syslog(3)向文件/var/log/messages报告值得注意的事件。
其他日志
其他程序如中间件、FTP 也会生成日志,常用的日志文件如下:
access.log 记录HTTP/web的传输
acct/pacct 纪录用户命令
aculog 纪录MODEM的活动
messages 从syslog中记录信息(有的链接到syslog文件)
sudolog 纪录使用sudo发出的命令
sulog 纪录使用su命令的使用
syslog 从syslog中记录信息(通常链接到messages文件)
记录服务器曾经同步时间的 网络时间协议(NTP)服务器 的网络地址IP
btmp 登陆失败的纪录
utmp 纪录当前登录的每个用户
wtmp 一个用户每次登录进入和退出时间的永久纪录
lastlog 纪录最近几次成功登录的事件和最后一次不成功的登录
xferlog 纪录FTP会话
安装日志
/var/log/installer/installer-journal.txt
特别是搭lvm的时候会有记录
参考文章:
https://www.hacking8.com/MiscSecNotes/linux-check-pentest.html