solaris中的log

社区

其他技术讨论专区 帖子详情

solaris中的log

weixin_38096967 2008-05-04 01:19:36

作者: yreqab 出自: http://www.linuxdiyf.com

维护系统当然要看日志信息了，尤其当监控系统安全信息时，更不可少。

位置：/var/adm ; /var/log;

/var区下有个目录adm，在这个目录下有messags，syslog，sulog，utmp等诸多日志文件，它们记录着solaris系统产生的各种消息日志。

messages记录信息包括：认证，inetd等进程的消息及系统特殊状态，如温度超高等的系统消息，可以说它是系统最重要的日志之一。messages可以记载的内容是由/etc/syslog.conf决定的

sulog中记载着普通用户尝试su成为其它用户的纪录。它的格式为： 发生时间 +/-(成功/失败) pts号 当前用户欲su成的用户

adm/utmp,utmpx 这两个文件是不具可读性的，它们记录着当前登录在主机上的用户，管理员可以用w，who等命令来看。

adm/wtmp，wtmps 这两个文件相当于历史纪录，它们记录着所有登录过主机的用户，时间，来源等内容， 这两个文件也是不具可读性的。可用last命令来看。

除了上述几个文件外，在/var/log目录下还有一个syslog文件，这个文件的内容一般是纪录mail事件的，管理员应该经常检查有没有异常纪录。

ps： solaris一个很少被用起但却极为有用的功能---记账。Solaris操作系统可以通过设置日志文件可以对每个用户的每一条命令进行纪录，这一功能默认是不开放的，为了打开它，需要执行/usr/lib/acct目录下的accton文件，格式如下 /usr/lib/acct/accton /var/adm/pacct，在sun的手册上，只有这一种用法，但这样做的缺点是明显的，大多数有经验的入侵者一定不会放过/var/adm和 /var/log这两个目录的，如果它们看到有pacct这个东西，不删才怪。针对这种情况其实有个很好的解决办法，执行 /usr/lib/acct/accton 后面跟一个别的目录和文件即可，如/usr/lib/acct/accton /yiming/log/commandlog，这样入侵者不会在/var/adm/下看到pacct，入侵者也许会删掉message，syslog等日志，但他并不知道实际上他所有的操作都被记录在案，管理员事后只要把commandlog这个文件拷贝到/var/adm下，改为pacct ，同时执行读取命令lastcomm，就一切尽在掌握啦。如lastcomm hack。

本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u/31/showart_668164.html

...全文

46 回复 打赏 收藏

solaris中的log

作者: yreqab出自: http://www.linuxdiyf.com 维护系统当然要看日志信息了，尤其当监控系统安全信息时，更不可少。 位置：/var/adm ; /var/log; /var区下有个目录adm，在这个目录下有messags，syslog，sulog，utmp等诸多日志文件，它们记录着solaris系统产生的各种消息日志。 messages记录信息包括：认证，inetd等进程的消息及系统特殊状态，如温度超高等的系统消息，可以说它是系统最重要的日志之一。 复制链接

扫一扫 分享 转发到动态 举报 AI 作业

写回复 配置赞助广告取 消

确 定

用AI写文章 回复 切换为时间正序 请发表友善的回复… 发表回复 打赏红包 需支付: 0.00 元 取 消 确 定 LOG分析方法 AIX log分析方法介绍

SOLARIS log分析方法介绍

HP-UX log分析方法介绍 Solaris 系统log日志原理分析 出处：Unix爱好者家园unix-cd.com

作为攻击者当然要知道系统是如何纪录用户的活动的情况的原理的了，呵呵，不然ip被记下来都不知道！

呵呵，其实一些人只会到/var/adm/目录里去删日志，那是很笨很笨的做法。

前段时间在www.unixaid.net结识了一个外地的系统管理员，谈了谈，深有心得所以我把这些写下来，呵呵。

unix系统的日志其实是非常复杂和强大的，特别 solaris下清除log文件命令 solaris下部署了一些应用，需要用一个cron job去定时清除log文件。

需要写一条命令去找到一些文件去删除。

我们可以用下面的命令： www.2cto.com

find [目录] -type f -name "els*.log" -mtime +5 | xargs rm

-type f 代表要找文件

-name 代表 solaris下清除log文件

solaris下部署了一些应用，需要用一个cron job去定时清除log文件。

需要写一条命令去找到一些文件去删除。

我们可以用下面的命令：

find [目录] -type f -name "els*.log" -mtime +5 | xargs rm

-type f 代表要找文件

-name 代表按照文件名匹配

-mtime +5 查找5天前修改过的文件（-5... solaris cron log 判断cron计划是否执行的方法 1. cron的执行日志存放在/var/cron目录下 共有2个 var/cron/log 当前记录 /var/cron/olog 转存记录 2.文件内容

其他技术讨论专区

474

社区成员

791,049

社区内容

发帖 与我相关 我的任务 其他技术讨论专区 其他技术讨论专区 复制链接

扫一扫 分享 确定 社区描述 其他技术讨论专区 其他 技术论坛（原bbs） 社区管理员

加入社区

获取链接或二维码

近7日

近30日

至今

加载中

查看更多榜单

社区公告

暂无公告 试试用AI创作助手写篇文章吧

+ 用AI写文章