Trong Unix, cỏc cụng cụ ghi log tạo những filelog là file đƣợc định dạng text thụng thƣờng; cho phộp ngƣời sử dụng dựng những cụng cụ soạn thảo file text bất kỳ đều cú thể đọc đƣợc nội dung. Tuy nhiờn, một số trƣờng hợp logfile đƣợc ghi dƣới dạng binary; chỉ cú thể sử dụng một số tiện ớch đặc biệt mới cú thể đọc đƣợc thụng tin.
Logfile lastlog:
Tiện ớch này ghi lại những lần truy nhập gần đõy đối với hệ thống. Cỏc thụng tin ghi lại gồm tờn ngƣời truy nhập; thời điểm, địa chỉ truy nhập... Cỏc chƣơng trỡnh login sẽ đọc nội dung file lastlog; kiểm tra theo UID truy nhập vào hệ thống và sẽ thụng bỏo lần truy nhập vào hệ thống gần đõy nhất của hệ thống. Vớ dụ nhƣ sau:
Last login: Fri Sep 15 2000 14:11:38
Sun Microsystems Inc. SunOS 5.7 Generic October 1998 No mail.
Sun Microsystems Inc. SunOS 5.7 Generic October 1998 /export/home/vhai%
Logfile UTMP:
Logfile này ghi lại thụng tin về những ngƣời đang login vào hệ thống; thƣờng nằm ở thƣ mục /etc/utmp; Để xem thụng tin trong logfile cú thể sử dụng cỏc tiện ớch nhƣ who, w, finger, rwho, users. Vớ dụ nội dung của logfile dựng lệnh who nhƣ sau:
/export/home/vhai% who
root console Aug 10 08:45 (:0)
vtoan pts/4 Sep 15 15:27 (203.162.0.87) vtoan pts/6 Sep 15 15:28 (203.162.0.87) vhai pts/10 Sep 18 08:44 (203.162.0.85) root pts/8 Sep 6 09:21 (:0.0) root pts/11 Sep 7 10:20 (:0.0) root pts/12 Sep 7 16:35 (:0.0) root pts/13 Sep 7 11:35 (:0.0) root pts/14 Sep 7 11:39 (:0.0) Logfile WTMP:
Logfile này ghi lại cỏc thụng tin về cỏc hoạt động login và logout vào hệ thống. Nú cú chức năng tƣơng tự với logfile UTMP; ngoài ra cũn ghi lại cỏc thụng tin về cỏc lần shutdown, reboot hệ thống, cỏc phiờn truy nhập hoặc ftp; thƣờng nằm ở thƣ mục /var/adm/wtmp; Logfile này thƣờng đƣợc sử dụng qua lệnh "last". Vớ dụ nội dung nhƣ sau:
/export/home/vhai% last | more
vhai pts/10 203.162.0.85 Mon Sep 18 08:44 still logged in vtoan pts/10 Sat Sep 16 16:52 - 16:52 (00:00) vhai pts/16 Fri Sep 15 21:51 - 21:52 (00:00) vhai pts/17 Fri Sep 15 21:51 - 21:51 (00:00) vhai pts/17 203.162.0.85 Fri Sep 15 21:11 - 21:51 (00:40) vhai pts/16 203.162.0.85 Fri Sep 15 21:08 - 21:51 (00:43) vhai pts/16 Fri Sep 15 16:12 - 16:12 (00:00) vtoan pts/10 203.162.0.87 Fri Sep 15 15:30 - 16:52 (1+01:22) vtoan pts/6 203.162.0.87 Fri Sep 15 15:28 still logged in vtoan pts/4 203.162.0.87 Fri Sep 15 15:27 still logged in vtoan pts/4 Fri Sep 15 15:12 - 15:12 (00:00) vtoan pts/10 Fri Sep 15 15:11 - 15:11 (00:00)
Tiện ớch Syslog:
Đõy là một cụng cụ ghi logfile rất hữu ớch, đƣợc sử dụng rất thụng dụng trờn cỏc hệ thống UNIX. Tiện ớch syslog giỳp ngƣời quản trị hệ thống dễ dàng trong việc thực hiện ghi logfile đối với cỏc dịch vụ khỏc nhau. Thụng thƣờng tiện ớch syslog
thƣờng đƣợc chạy dƣới dạng một daemon và đƣợc kớch họat khi hệ thống khởi động. Daemon syslogd lấy thụng tin từ một số nguồn sau:
/dev/log: Nhận cỏc messages từ cỏc tiến trỡnh hoạt động trờn hệ thống /dev/klog: nhận messages từ kernel
port 514: nhận cỏc messages từ cỏc mỏy khỏc qua port 514 UDP.
Khi syslogd nhận cỏc messages từ cỏc nguồn thụng tin này nú sẽ thực hiện kiểm tra file cấu hỡnh của dịch vụ là syslog.conf - để tạo log file tƣơng ứng. Cú thể cấu hỡnh file syslog.conf để tạo một messages với nhiều dịch vụ khỏc nhau.
Vớ dụ nội dung một file syslog.conf nhƣ sau: # This file is processed by m4 so be careful to quote (`') names # that match m4 reserved words. Also, within ifdef's, arguments # containing commas must be quoted.
# *.err;kern.notice;auth.notice /dev/console *.err;kern.debug;daemon.notice;mail.crit /var/adm/messages *.alert;kern.err;daemon.err operator *.alert root *.emerg *
# if a non-loghost machine chooses to have authentication messages
Trong nội dung file syslog.conf chỉ ra, đối với cỏc messages co dạng *.emerg (messages cú tớnh khẩn cấp) sẽ đƣợc thụng bỏo tới tất cả ngƣời sử dụng trờn hệ thống; Đối với cỏc messages cú dạng *.err, hoặc kern.debug và những hoạt động truy cập khụng hợp phỏp sẽ đƣợc ghi log trong file /var/adm/messages.
Mặc định, cỏc messages đƣợc ghi vào logfile /var/adm/messages. Tiện ớch sulog:
Bất cứ khi nào ngƣời sử dụng dựng lệnh "su" để chuyển sang hoạt động hệ thống dƣới quyền một user khỏc đều đƣợc ghi log thụng qua tiện ớch sulog. Những thụng tin logfile này đƣợc ghi vào logfile /var/adm/sulog. Tiện ớch này cho phộp phỏt hiện cỏc trƣờng hợp dựng quyền root để cú đƣợc quyền của một user nào khỏc trờn hệ thống.
# more /var/adm/sulog SU 01/04 13:34 + pts/1 vtoan-root SU 01/04 13:53 + pts/6 vtoan-root SU 01/04 14:19 + pts/6 vtoan-root SU 01/04 14:39 + pts/1 vtoan-root Tiện ớch cron:
Tiện ớch cron sẽ ghi lại logfile của cỏc hoạt động thực hiện bởi lệnh crontabs. Thụng thƣờng, logfile của cỏc hoạt động cron lƣu trong file /var/log/cron/log; Ngoài ra, cú thể cấu hỡnh syslog để ghi lại cỏc logfile của hoạt động cron.
Vớ dụ nội dung của logfil e cron nhƣ sau:
# more olog
! *** cron started *** pid = 2367 Fri Aug 4 16:32:38 2000
> CMD: /export/home/mrtg/mrtg /export/home/mrtg/termcount.cfg > vhai 2386 c Fri Aug 4 16:34:01 2000
< vhai 2386 c Fri Aug 4 16:34:02 2000 > CMD: /export/home/mrtg/getcount.pl > vhai 2400 c Fri Aug 4 16:35:00 2000 < vhai 2400 c Fri Aug 4 16:35:10 2000
> CMD: /export/home/mrtg/mrtg /export/home/mrtg/termcount.cfg
Logfile của sendmail:
Hoạt động ghi log của sendmail cú thể đƣợc ghi qua tiện ớch syslog. Ngoài ra chƣơng trỡnh sendmail cũn cú lựa chọn "-L + level security" với mức độ bảo mật từ "debug" tới "crit" cho phộp ghi lại logfile. Vỡ sendmail là một chƣơng trỡnh cú nhiều bug, với nhiều lỗ hổng bảo mật nền ngƣời quản trị hệ thống thƣờng xuyờn nờn ghi lại logfile đối với dịch vụ này.
Logfile của dịch vụ FTP:
Hầu hết cỏc daemon FTP hiện nay đều cho phộp cấu hỡnh để ghi lại logfile sử dụng dịch vụ FTP trờn hệ thống đú. Hoạt động ghi logfile của dịch vụ FTP thƣờng đƣợc sử dụng với lựa chọn "-l", cấu hỡnh cụ thể trong file /etc/inetd.conf nhƣ sau: # more /etc/inetd.conf
Sau đú cấu hỡnh syslog.conf tƣơng ứng với dịch vụ FTP; cụ thể nhƣ sau: #
# Logfile FTP
daemon.info ftplogfile
Với lựa chọn này sẽ ghi lại nhiều thụng tin quan trọng trong một phiờn ftp nhƣ: thời điểm truy nhập, địa chỉ IP, dữ liệu get/put... vào site FTP đú. Vớ dụ nội dung logfile của một phiờn ftp nhƣ sau:
Sun Jul 16 21:55:06 2000 12 nms 8304640 /export/home/ntcong/PHSS_17926.depot b _ o r ntcong ftp 0 * c Sun Jul 16 21:56:45 2000 96 nms 64624640 /export/home/ntcong/PHSS_19345.depot b _ o r ntcong ftp 0 * c Sun Jul 16 21:57:41 2000 4 nms 3379200 /export/home/ntcong/PHSS_19423.depot b _ o r ntcong ftp 0 * c Sun Jul 16 22:00:38 2000 174 nms 130396160 /export/home/ntcong/PHSS_19987.depot b _ o r ntcong ftp 0 * c
Logfile của dịch vụ Web:
Tựy thuộc vào Web server sử dụng sẽ cú cỏc phƣơng thức và cấu hỡnh ghi logfile của dịch vụ Web khỏc nhau. Hầu hết cỏc web server thụng dụng hiện nay đều hỗ trợ cơ chế ghi log. Vớ dụ nội dung logfile của dịch vụ Web sử dụng Web server Netscape nhƣ sau:
202.167.123.170 - - [03/Aug/2000:10:59:43 +0700] "GET /support/cgi-bin/search.pl HTTP/1.0" 401 223 203.162.46.67 - - [03/Sep/2000:22:50:52 +0700] "GET http://www.geocities.com/ HTTP/1.1" 401 223 203.162.0.85 - - [15/Sep/2000:07:43:17 +0700] "GET /support/cgi-bin/search.pl HTTP/1.0" 401 223 203.162.0.85 - vhai [15/Sep/2000:07:43:22 +0700] "GET /support/cgi-bin/search.pl HTTP/1.0" 404 207 203.162.0.85 - - [15/Sep/2000:07:43:17 +0700] "GET /support/cgi-bin/search.pl HTTP/1.0" 401 223