class="22211">
RedHat;日檔:
系統的那些訊息以及應該記錄在那些檔案,;或如何顯示,;是由;/etc/syslog.conf;來控制的.
syslog.conf;的格式,;另篇說明.
以下是;RedHat;的;/var/log;目錄中一些重要的記錄檔案的說明.
1.;/var/log/lastlog;:;記錄每個使用者最近簽入系統的時間,;因此當使用者簽入時,;就會顯示其上次簽入的時間,;您應該注意一下這個時間,;若不是您上次簽入的時間,;表示您的帳號可能被人盜用了.;此檔可用;/usr/bin/lastlog;指令讀取.
2.;/var/run/utmp;:;記錄每個使用者簽入系統的時間,;who,;users,;finger;等指令會查這個檔案.
3.;/var/log/wtmp;:;記錄每個使用者簽入及簽出的時間,;last;這個指令會查這個檔案.;這個檔案也記錄;shutdown;及;reboot;的動作.
4.;/var/log/secure;:;記錄那些站台連線進來,;以及那些位址連線失敗.
5.;/var/log/maillog;:;記錄;sendmail;及;pop;等相關訊息.
6.;/var/log/cron;:;記錄;crontab;的相關訊息
7.;/var/log/dmesg;:;/bin/dmesg;會將這個檔案顯示出來,;它是開機時的畫面訊息.
8.;/var/log/xferlog;:;記錄那些位址來;ftp;拿取那些檔案.
9.;/var/log/messages;:;系統大部份的訊息皆記錄在此,;包括;login,;check;password;,;failed;login,;ftp,;su;等.
lastlog;及;utmp;的結構在;/usr/include/utmpbits.h;中.
wtmp;只有;last;才能讀取,;是否可以寫一支程式來讀取它呢?
只要能弄清楚;wtmp;的格式,;應該是可行的.(事實上這種程式目前有幾支,只要是玩cracker者都是必備的)
wtmp;的格式和;utmp;相同.