Solaris Mac OS系統日誌分析工具

2021-09-22 04:44:02 字數 4178 閱讀 5348

solaris

、mac os

系統日誌分析工具

本節以pc

伺服器上常見的幾種

unix

系統例如

solaris

、mac os

以及sco openserver

系統為例如何在它們這些平台下查詢系統日誌。

一、用

smc分析系統日誌

我們知道

linux

系統下的

system log viewer

是gnome

桌面環境的日誌檔案檢視器,而在

solarsi9/10

系統下,同樣有非常方便使用

gui工具

smc(

solaris management console

),目前版本是

2.1,它包括了伺服器元件(

sunwmc

)、客戶機元件(

sunwmcc

)、常規元件(

sunmccom

)、開發工具包(

sunwmcdev

)、wbem

元件(sunwwbmc

)這些元件提供了系統配置,網路服務管理,儲存管理和裝置管理等諸多優秀的管理工具,其中日誌檢視器是管理員經常要關注的地方,它記錄了系統日誌,我們查詢分析就在這裡。如圖

1-33

所示。

控制台

1

.確定控制台伺服器是否正在執行

# /etc/init.d/init.wbem status

smc server version 2.1.0 running on port 898

2

.如果控制台伺服器未在執行,則啟動它。

#/etc/init.d/init.wbem start

3

.啟動

smc#/usr/sadm/bin/smc &

由於smc許可權管理是基於角色的,所以大家要以

root

身份進入,才能檢視全部日誌資訊。

二、sco openserver

系統的gui

日誌分析工具

sco openserver 

系統日誌存放位置

/usr/adm/messages

一般系統事件記錄

/usr/adm/hwconfig

/usr/adm/syslog

主要系統事件記錄

/usr/internet/ns_httpd/httpd-80/logs web日誌

一般情況下還需要注意以下幾個檔案:wtmp(使用者登入記錄)、wtmpx、sulog(使用者以其他使用者身份登入記錄)

我們除了命令列外,我們可以使用

gui工具對日誌進行查詢等管理操作

選擇那些日誌將有

/var/adm/syslog 

記錄,之後我們可以開始正式檢視日誌內容

三、mac os x 的gui日誌查詢工具

對於mac os

系統的日誌大家可能不常見到,有時在取證過程中常常需要,這裡總結出常用的日誌列表,如表

1-14

所示。另外在

以上系統就就包含了日誌查詢的工具,如圖

1-34

所示,左邊一欄是系統的所有日誌的列表,右邊對應了某條日誌的內容,右上方的搜尋區域,還能可以根據關鍵字進行查詢,使用還是相當方便的。 表

1-14 mac

系統主要日誌

/var/log/asl

vpn、pppoe日誌

/var/log/ppp.log

印表機訪問日誌

/var/log/cups/access_log

電源管理日誌

/usr/bin/pmset-g.log

防火牆日誌

檔案系統修復日誌

/users/username/library/logs/fsck_hfs.log

系統診斷資訊

/var/log/diagnosticmessages

不僅是cisco ios

作業系統是基於

bsd核心,就連

這樣優秀的作業系統也是基於

bsd核心。對於

防火牆而言,其實你要是懂得

cisco

防火牆就並不難理解了,

man一下

ipfw

就能看出,它其實比

linux

下的netfilter

更簡單。下面就來看個例子:例如我們要禁止

ping

伺服器,也就是禁掉

icmp

在表1-15中顯示了不同作業系統實現方法。

1-15各作業系統之間實現方法對比

作業系統

mac os

ipfw add deny icmp from any to any

cisco route

access-list 100 deny icmp any any echo

linux

iptables -a input -p icmp --icmp-type 8 -s 0/0 -j drop

細心的讀者會觀察到這和cisco命令十分相似,如果系統開啟了防火牆功能,系統將把防火牆日誌記錄到

檔案中,下面對標準日誌做以下說明。

jan 15 18:44:47 localhost socketfilterfw[49251]:deny netbiosd data in for 192.168.11.6:137 to port 137 proto=17

… …rfc768

中規定協議號

17代表

udp協議

17號表示是上層即傳輸層是

udp協議,

udp 137 

給計算機提供獲得和保護

netbios

名稱。

11 日誌系統

作為黑客,日誌檔案可以跟蹤目標的活動和身份。但它也可以是你自己在別人系統上的活動痕跡。攻擊方使用日誌系統,抹掉自己的痕跡,防守方備份日誌系統,尋找攻擊方。保護系統,知道如何管理日誌記錄功能,以確定系統是否受到攻擊,破譯實際發生的事情以及是誰在攻擊你。查到第乙個攻擊目標,進一步確認目標的日誌系統看是否...

28 日誌系統rsyslog

日誌管理基礎 rsyslog 日誌管理 logrotate日誌輪轉 採集 分析 一 處理日誌的程序 rsyslogd 絕大部分日誌記錄,和系統操作有關,安全,認證sshd,su,計畫任務at,cron httpd nginx mysql 可以自己的方式記錄日誌 root fanhua ps aux ...

spring5日誌系統

1 jcl jcl底層依賴於log4j和jul,如果有log4j就使用log4j記錄日誌,沒有就是用jul spring5底層日誌系統依賴的是spring jcl,和傳統的jcl common logging.jar 有區別,首先是嘗試加log4j2裡面的乙個extendedlogger,然後嘗試載...