系统的那些讯息以及应该记录在那些档案,;或如何显示,;是由;/etc/syslog.conf;来控制的.
syslog.conf;的格式,;另篇说明.
以下是;RedHat;的;/var/log;目录中一些重要的记录档案的说明.
1.;/var/log/lastlog;:;记录每个使用者最近签入系统的时间,;因此当使用者签入时,;就会显示其上次签入的时间,;您应该注意一下这个时间,;若不是您上次签入的时间,;表示您的帐号可能被人盗用了.;此档可用;/usr/bin/lastlog;指令读取.
2.;/var/run/utmp;:;记录每个使用者签入系统的时间,;who,;users,;finger;等指令会查这个档案.
3.;/var/log/wtmp;:;记录每个使用者签入及签出的时间,;last;这个指令会查这个档案.;这个档案也记录;shutdown;及;reboot;的动作.
4.;/var/log/secure;:;记录那些站台连线进来,;以及那些位址连线失败.
5.;/var/log/maillog;:;记录;sendmail;及;pop;等相关讯息.
6.;/var/log/cron;:;记录;crontab;的相关讯息
7.;/var/log/dmesg;:;/bin/dmesg;会将这个档案显示出来,;它是开机时的画面讯息.
8.;/var/log/xferlog;:;记录那些位址来;ftp;拿取那些档案.
9.;/var/log/messages;:;系统大部份的讯息皆记录在此,;包括;login,;check;password;,;failed;login,;ftp,;su;等.
lastlog;及;utmp;的结构在;/usr/include/utmpbits.h;中.
wtmp;只有;last;才能读取,;是否可以写一支程式来读取它呢?
只要能弄清楚;wtmp;的格式,;应该是可行的.(事实上这种程式目前有几支,只要是玩cracker者都是必备的)
wtmp;的格式和;utmp;相同.
标签: