資安論壇

常見的系統紀錄(LOG)


 連線紀錄：/var/log/wtmp（/var/adm/wtmp）或./var/log/utmp（/var/adm/utmp）

 程序統計：acct或pacct

 錯誤紀錄：由syslogd daemon提供，包括/var/adm/messages和/var/log/syslog等

 系統紀錄檔案一般放在/var/log、/var/adm、/usr/adm或/etc，可參考http://csrc.nist.gov/nissc/1998/proceedings/paperD1.pdf，常見包括：
 access_log：Web物件存取紀錄
 acct/pacct：使用者所下指令紀錄
 aculog：紀錄數據機活動
 btmp：登入紀錄失敗
 lastlog：紀錄最近一次成功或失敗的紀錄
 messages：紀錄syslog的訊息
 sudolog：sudo指令的紀錄
 sulog：su指令的紀錄
 syslog：紀錄syslog的訊息
 utmp：紀錄目前上線的每個使用者
 wtmp：使用者登入與登出時間的永久紀錄
 xferlog：遠端檔案傳輸（FTP）紀錄

 登入紀錄：utmp、wtmp和lastlog，如果/var/log/wtmp不存在，必須人工產生（touch /var/log/wtmp），要看wtmp和utmp，必須使用who、w、users、last、lastb和ac指令；關機紀錄wtmp或shutdownlog

程序會計（預設不啟動）
 啟動：touch /var/log/pact ; accton /var/log/pacct
 檢查：lastcomm或spar
 整理：用cron執行sa指令，將/var/log/pacct分別濃縮到/var/log/savacct和/va/log/usracct。
 System V的啟動為 /usr/lib/acct/startup，會計檔案 /usr/adm/pacct，檢查用 acctcom 指令
 Syslog = /etc/syslogd daemon + /etc/syslog.conf
 程式紀錄：sulog、sudolog、uucp、httpd (access_log和error_log)

請問可以看到command的執行時間麼？

因為使用history只能看到user所執行每個command，而無法看出執行時間，判斷來說比較困難。

或是有類似的軟體可以達到紀錄user所執行每個command的執行時間麼？或類似cisco switch用的tacas server麼？

因為我用syslog server只能集中到server的system event，而無法集中或記錄到user command history的說。

我想若有這類軟體，應該對鑑識會很有幫助。

若有人有類似經驗，煩請提供一下，感謝。

USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`

if [ "$USER_IP" = "" ]
then
USER_IP=`hostname`
fi

if [ ! -d /tmp/.hist ]
then
mkdir /tmp/.hist
chmod 777 /tmp/.hist
fi

if [ ! -d /tmp/.hist/${LOGNAME} ]
then
mkdir /tmp/.hist/${LOGNAME}
chmod 300 /tmp/.hist/${LOGNAME}
fi

export HISTSIZE=4096
DT=`date "+%Y%m%d_%H%M%S"`
export HISTFILE="/tmp/.hist/${LOGNAME}/${USER_IP}.hist.$DT"
chmod 600 /tmp/.hist/${LOGNAME}/*.hist* 2>/dev/null

找到方法了，把上列這段放到/etc/profile即可。
可是有一個很鳥的地方，就是當user使用history -c後，該次的log就會是空白的....><||