通常它提供的最有用的日志是：messages,secure,syslog.在syslog.conf中每一行含有三个字段：

　　facility字段表示产生该日志文件的子系统；priority字段表明事件的严重级别；

　　action字段表明如何记录日志，它提供了远程网络记录的能力。

　　TCP wrapper日志也利用syslog记录，其中可能会有telnet,ssh,ftp等远程登录的信息。这些日志中有很多有价值的条目：

　　尝试登陆的时间日期，主机名称，访问的服务类型，以及源IP地址。

　　其他的网络日志比如，web,ftp,sql通常自身都提供了较为详细的信息。Apache默认日志在/usr/local/apache/logs,

　　最有用的日志是access_log,还有ssl_request_log,ssl_engine_log也能提供有价值的信息。其中可能包含攻击前的扫描记录。

　　Su命令日志，记录了每一次执行su命令的动作：时间日期，成功与否，终端设备，用户ID.有些Unix具有单独的su日志，

　　有些则保存在syslog中。

　　登陆用户日志：utmp或wtmp文件保存了有关当前登陆到系统的用户的信息。此文件根据各UNIX版本的不同，

　　名称及存储位置有所差异。保存的基本信息是用户名，用于登陆的终端以及登陆的时间。文件以二进制格式存储。

　　查询utmp,wtmp文件应使用适当的客户端，如w,who,finger,last.检索成功，失败与用户名未知的登陆条目。

　　Cron日志记录了定时作业的内容，通常在/var/log/cron或默认日志目录中一个称为cron的文件里。

　　进程记账，如果系统存在acct或pacct日志文件，则可使用lastcomm或acctcom命令查看。该日志为二进制文件。

　　Shell历史记录：

　　[root@ay4z3ro foo]# less ~/.bash_history

　　如果.bash_history被链接到/dev/null文件，或者环境变量中的$HISTFILE,$HISTFILESIZE两个变量值为0，那么肯定有人非法活动过了。

标签：