Question

系统管理员主要依靠系统的 LOG，即我们时常所说的日志文件来获得 入侵 的痕迹及 入侵 者进来的 IP 和其他信息。当然也有些管理员使用第三方工具来记录侵入电脑的信息，这里主要讲的是一般 U NIX 系统里记录 入侵 踪迹的文件。

/var/log ，一些版本的 Solaris，Linux BSD，Free BSD 使用这个位置；
/etc ，大多数 UNIX 版本把 utmp 放在此处，一些也把 wtmp 放在这里，这也是 syslog.conf 的位置。

下面列举一些文件的功能，当然他们也根据入侵的系统不同而不同。

 acct 或 pacct，记录每个用户使用的命令记录；
 access_log，主要使用来服务器运行了 NCSA HTTPD，这个记录文件会有什么站点连接过你的服务器；
 aculog，保存着你拨出去的 MODEMS 记录；
 lastlog，记录了用户最近的登陆记录和每个用户的最初目的地，有时是最后不成功登陆的记录；
 loginlog，记录一些不正常的登陆记录；
 messages，记录输出到系统控制台的记录，另外的信息由 syslog 来生成；
 security，记录一些使用 UUCP 系统企图进入限制范围的事例；
 secure   远程登陆相关的日志
 sulog，记录使用 su 命令的记录；
 utmp，记录当前登录到系统中的所有用户，这个文件伴随着用户进入和离开系统而不断变化；
 utmpx，UTMP 的扩展；
 wtmp，记录用户登录和退出事件；
 syslog，最重要的日志文件，使用 syslogd 守护程序来获得。

日志信息 ：

/dev/log，一个 UNIX 域套接字，接受在本地机器上运行的进程所产生的消息；
/dev/klog，一个从 UNIX 内核接受消息的设备；
514 端口，一个 INTERNET 套接字，接受其他机器通过 UDP 产生的 syslog 消息；
Uucp，记录的 UUCP 的信息，可以被本地 UUCP 活动更新，也可有远程站点发起的动作修改，信息包括发出和接受的呼叫，发出的请求，发送者，发送时间和发送主机；
lpd-errs，处理打印机故障信息的日志；
ftp 日志，执行带-l 选项的 ftpd 能够获得记录功能；
httpd 日志，HTTPD 服务器在日志中记录每一个 WEB 访问记录；
history 日志，这个文件保存了用户最近输入命令的记录；
vold.log，记录使用外接媒介时遇到的错误记录。

在 Linux 系统中，有三个主要的日志子系统：

• 连接时间日志--由多个程序执行，把纪录写入到 /var/log/wtmp 和 /var/run/utmp ，login 等程序更新 wtmp 和 utmp 文件，使系统管理员能够跟踪谁在何时登录到系统。
• 进程统计--由系统内核执行。当一个进程终止时，为每个进程往进程统计文件（pacct 或 acct）中写一个纪录。进程统计的目的是为系统中的基本服务提供命令使用统计。
• 错误日志：由 syslogd（8） 执行。各种系统守护进程、用户程序和内核通过 syslog（3） 向文件 /var/log/messages 报告值得注意的事件。另外有许多 UNIX 程序创建日志。像 HTTP 和 FTP 这样提供网络服务的服务器也保持详细的日志。