Linux 操作系统日志管理全攻略(4)

 用户可以在一行中指明所有的设备。下面的例子把info或更高级别的消息送到/var/log/messages，除了mail以外。级别"none"禁止一个设备：
　　#Log anything（except mail）of level info or higher
　　#Don't log private authentication messages!
　　*.info:mail.none;authpriv.none /var/log/messages

　　在有些情况下，可以把日志送到打印机，这样网络入侵者怎么修改日志都没有用了。通常要广泛纪录日志。Syslog设备是一个攻击者的显著目标。一个为其他主机维护日志的系统对于防范服务器攻击特别脆弱，因此要特别注意。

　　有个小命令logger为syslog（3）系统日志文件提供一个shell命令接口，使用户能创建日志文件中的条目。用法：logger 例如：logger This is a test！ 它将产生一个如下的syslog纪录：Aug 19 22:22:34 tiger: This is a test!
　　它将产生一个如下的syslog纪录：Aug 19 22:22:34 tiger: This is a test! 注意不要完全相信日志，因为攻击者很容易修改它的。

　　5. 程序日志

　　许多程序通过维护日志来反映系统的安全状态。su命令允许用户获得另一个用户的权限，所以它的安全很重要，它的文件为sulog。同样的还有sudolog。另外，想Apache有两个日志：access_log和error_log。

　　6. 其他日志工具
　　chklastlog
　　ftp://coast.cs.purdue.edu/pub/tools/unix/chklastlog/
　　chkwtmp
　　ftp://coast.cs.purdue.edu/pub/tools/unix/chkwtmp/
　　dump_lastlog
　　ftp://coast.cs.purdue.edu/pub/tools/unix/dump_lastlog.Z
　　spar
　　ftp://coast.cs.purdue.edu/pub/tools/unix/TAMU/
　　Swatch
　　http://www.lomar.org/komar/alek/pres/swatch/cover.html
　　Zap
　　ftp://caost.cs.purdue.edu/pub/tools/unix/zap.tar.gz
　　日志分类方法
　　http://csrc.nist.gov/nissc/1998/proceedings/paperD1.pdf