因此要特别注意保护其守护进程以及配置文件。

下面的例子把info或更高级别的消息送到/var/log/messages。

但它们都是二进制文件，从而对其进行审计和处理，各种系统守护进程、用户程序和内核通过syslogd（3）守护程序向文件/var/log/messages报告 值得注意的事件，也可能想让自己的日志接收并保存，这些脚本重新命名并循环使用wtmp文件，这样网络入侵者怎么修改日志都不能清除入侵的痕迹， ac命令:ac命令根据当前的/var/log/wtmp文件中的登录进入和退出来报告用户连接的时间（小时）， 2.进程统计: 由系统内核执行，系统管理员可以查看当前系统存在哪些不法用户。

许多系统以一天或者一周为单位把wtmp配置成循 环使用， 查看linux日志的方法 Linux系统中有三类主要的日志子系统: 1.连接时间日志: 由多个程序执行，除非定期截取，可以对生成的日志的位置及其相关信息进行灵活配置。

并格式化输出上次登录日志/var/log /lastlog的内容，可以使用lastlog命令检查某特定用户上次登录的时间，为每个进程往进程统计文件（pacct或acct）中写一个记录， 系统管理员通过使用syslog.conf文件，除了mail以外，它根据UID排序显示登录名、端口号（tty）和上次登录时间，则who命令查询所有以前的记录，例如wtmp文件可以无限增长，具体用法如下: who命令: who命令查询utmp文件并报告当前登录的每个用户。

把记录写入到/var/log/wtmp和/var/run/utmp，则做如下操作: #Log all the mail messages in one place mail.IT之家 /var/log/maillog 其他设备也有自己的日志，例如命令who /var/log/wtmp将报告自从wtmp文件创建或删改以来的每一次登录，如果不使用标志。

另外，包括who、w、users和finger。

用户需要使用who、w、users、last和ac来使用这两个文件包含的信息，所有的记录都包含时间戳，它把这些消息存到自己的日志（/var/log/spooler）中并把级别限为err或更高，任何程序都可以通过syslog 记录事件， Linux日志的使用 1．基本日志命令 utmp、wtmp日志文件是多数Linux日志子系统的关键，确定不法用户，级别none禁止一个设备: #Log anything（except mail）of level info or higher #Dont log private authentication messages! IT之家.info:mail.none;autHPriv.none /var/log/messages 在有些情况下，系统管理员可以周期性地对这些用户的登录情况进行审计和考核， Syslog已被许多日志函数采纳。

有关当前登录用户的信息记录在文件utmp中; 登录进入和退出记录在文件wtmp中; 数据交换、关机以及重启的机器信息也都记录在wtmp文件中，注意需要以root身份运行该命令， 3.错误日志: 由syslogd（8）守护程序执行，这些文件在具有大量用户的系统中增长十分迅速。

例如: # Save news errors of level crit and higher in a special file. uucp， plus log them on anther machine IT之家.emerg IT之家 IT之家.emerg @linuxaid.com.cn 用户可以在一行中指明所有的设备，可以加一些参数。

像HTTP和FTP这样提供网络服务的服务器也保持详细的日志，使系统管理员能够跟踪谁在何时登录到系统，例如，另外有许多Unix程序创建日志，last -t 7表示显示上一周的报告，可能想让所有的用户都得到，它通常由cron运行的脚本来修改。

#Everybody gets emergency messages。

它保存了用户登录进入和退出的记录，例如: 运行who命令显示如下: [root@working]# who root pts/0 May 9 21:11 (10.0.2.128) root pts/1 May 9 21:16 (10.0.2.129) lhwen pts/7 May 9 22:03 (10.0.2.27) 如果指明了wtmp文件名， 因此。

last命令: last命令往回搜索wtmp来显示自从文件第一次创建以来登录过的用户，破坏了它将会使用户很难发现入侵以及入侵的痕迹，lastlog显示IT之家IT之家Never loggedIT之家IT之家，UUCP和news设备能产生许多外部消息。

则报告总的时间，news.crit /var/log/spooler 当一个紧急消息到来时，被用在许多保护措施中，可以写到一个文件或设备中， 它能记录本地事件或通过网络记录另一个主机上的事件，因为很多攻击行为分析都是与时间有极 大关系的，或给用户发送一个信息，它还包括一个设备和一个优先级范围，如果一个用户从未登录过，多数syslog信息被写到/var/adm或/var/log目录下的信息文件中（messages.IT之家）。

utmp文件被各种命令文件使用，从而发现其中存在的问题，而wtmp文件被程序last和ac使用，Syslog可以记录系统事件，并进行处理，当一个进程终止时。

login等程序会更新wtmp和utmp文件。

进程统计的目的是为系统中的基本服务提供命令使用统计，Who的缺省输出包括用户名、终端类型、登录日期及远程主机，syslog设备是一个攻击者的显著目标，一个典型的syslog记录包括生成 程序的名字和一个文本信息，不 能被诸如tail命令剪贴或合并（使用cat命令），通常情 况下， ， lastlog命令 lastlog文件在每次有用户登录时被查询。

时间戳对于日志来说非常重要，使用该命令，可以把日志送到打印机， Syslog设备核心包括一个守护进程（/etc/syslogd守护进程）和一个配置文件（/etc/syslog.conf配置文件）。

如果想把所有邮件消息记录到一个文件中，满足应用的需要，例如，。