實驗目的
1、了解Linux日志的作用。 2、掌握刪除Linux日志的方法。
實驗原理
所謂日志(Log)是指系統所指定對象的某些操作和其操作結果按時間有序的集合。每個日志文件由日志記錄組成,每條日志記錄描述了一次單獨的系統事件。通常情況下,系
實驗內容
1、介紹Linux日志的作用。 2、手動刪除Linux日志。
實驗環境描述
Linux操作系統
實驗步驟
1、點擊“打開控制台”
2、Login。
以root為用戶名,123456為password登錄。
3、查看Linux系統日志。
步驟1:/var/log/messages是系統啟動后的信息和錯誤日志,是Linux中最常用的日志之一。輸入“cat /var/log/messages”命令查詢以下日志內容,注意“cat”后有空格符,執行結果如圖3所示。
其他日志查詢命令如下:
/var/log/secure與安全相關的日志信息;
/var/log/maillog與郵件相關的日志信息;
/var/log/cron與定時任務相關的日志信息;
/var/log/spooler與UUCP和news設備相關的日志信息;
/var/log/boot.log守護進程啟動和停止相關的日志消息。
步驟2:wtmp位於/var/log下,是二進制日志,保存了登錄系統的信息。執行“who /var/log/wtmp”、“last”命令,查詢wtmp文件的內容。圖4為“who /var/log/wtmp”命令執行結果,圖5為“last”命令執行結果。
步驟3:使用“history”命令,查詢最近所執行過的命令。
4、手動刪除Linux日志。
常用的日志文件如下:
access-log:紀錄HTTP/web的傳輸;
acct/pacct:紀錄用戶命令;
aculog:紀錄MODEM的活動;
btmp:紀錄失敗的紀錄;
lastlog:紀錄最近幾次成功登錄的事件和最后一次不成功的登錄;
messages:從syslog中記錄信息(有的鏈接到syslog文件);
syslog:從syslog中記錄信息(通常鏈接到messages文件);
utmp:紀錄當前登錄的每個用戶;
wtmp:一個用戶每次登錄進入和退出時間的永久紀錄;
xferlog:紀錄FTP會話一般我們要清除的日志有 :lastlog,utmp(utmpx),wtmp(wtmpx),messages,syslog。
步驟1:輸入命令:“ls/var/log”,查看/var/log目錄下的日志文件,如圖7所示。
步驟2:可以在root用戶身份下使用“rm -f”命令將對應的日志刪除,也可以使用“> ”將內容清空,以上兩種方式雖然能夠徹底的消除攻擊者留下的痕跡,但是會被系統管理員所發現,因此,可以選擇使用編輯器對日志文件進行選擇性的修改,“vi /var/log/wtmp”。
注意,“rm -f”強制性很大,被誤刪的文件很難恢復。
使用root身份登陸,執行命令:“rm –f /var/log/wtmp”,再用“ls /var/log”命令查看/var/log目錄下的日志文件,發現wtmp被刪除,如圖8所示。
步驟3:同理可以對其他日志文件進行修改、刪除操作。