solaris中的log

sdccf

作者: yreqab  出自: http://www.linuxdiyf.com
维护系统当然要看日志信息了，尤其当监控系统安全信息时，更不可少。
　　
位置：/var/adm ; /var/log;
　　
/var区下有个目录adm，在这个目录下有messags，syslog，sulog，utmp等诸多日志文件，它们记录着solaris系统产生的各种消息日志。
　　
messages记录信息包括：认证，inetd等进程的消息及系统特殊状态，如温度超高等的系统消息，可以说它是系统最重要的日志之一。messages可以记载的内容是由/etc/syslog.conf决定的
sulog中记载着普通用户尝试su成为其它用户的纪录。它的格式为： 发生时间 +/-(成功/失败) pts号 当前用户欲su成的用户
adm/utmp,utmpx 这两个文件是不具可读性的，它们记录着当前登录在主机上的用户，管理员可以用w，who等命令来看。
adm/wtmp，wtmps 这两个文件相当于历史纪录，它们记录着所有登录过主机的用户，时间，来源等内容， 这两个文件也是不具可读性的。可用last命令来看。
　　
除了上述几个文件外，在/var/log目录下还有一个syslog文件，这个文件的内容一般是纪录mail事件的，管理员应该经常检查有没有异常纪录。
　　
ps： solaris一个很少被用起但却极为有用的功能---记账。Solaris操作系统可以通过设置日志文件可以对每个用户的每一条命令进行纪录，这一功能默认是不开放的，为了打开它，需要执行/usr/lib/acct目录下的accton文件，格式如下 /usr/lib/acct/accton /var/adm/pacct，在sun的手册上，只有这一种用法，但这样做的缺点是明显的，大多数有经验的入侵者一定不会放过/var/adm和 /var/log这两个目录的，如果它们看到有pacct这个东西，不删才怪。针对这种情况其实有个很好的解决办法，执行 /usr/lib/acct/accton 后面跟一个别的目录和文件即可，如/usr/lib/acct/accton /yiming/log/commandlog，这样入侵者不会在/var/adm/下看到pacct，入侵者也许会删掉message，syslog等日志，但他并不知道实际上他所有的操作都被记录在案，管理员事后只要把commandlog这个文件拷贝到/var/adm下，改为pacct ，同时执行读取命令lastcomm，就一切尽在掌握啦。如lastcomm hack。

本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u/31/showart_668164.html