Solaris、Mac OS系统日志分析工具
Solaris、Mac OS系統日志分析工具
本節以PC服務器上常見的幾種UNIX系統例如Solaris、Mac OS以及Sco Openserver系統為例如何在它們這些平臺下查找系統日志。
?
一、用SMC分析系統日志
?
??? 我們知道Linux系統下的System log viewer是GNOME桌面環境的日志文件查看器,而在Solarsi9/10系統下,同樣有非常方便使用GUI工具SMC(Solaris Management Console),目前版本是2.1,它包括了服務器組件(SUNWmc)、客戶機組件(SUNWmcc)、常規組件(SUNmccom)、開發工具包(SUNWmcdev)、WBEM組件(SUNWwbmc)這些組件提供了系統配置,網絡服務管理,存儲管理和設備管理等諸多優秀的管理工具,其中日志查看器是管理員經常要關注的地方,它記錄了系統日志,我們查找分析就在這里。如圖1-33所示。
圖1-33 SMC控制臺
1).確定控制臺服務器是否正在運行
# /etc/init.d/init.wbem status
SMC server version 2.1.0 running on port 898
2).如果控制臺服務器未在運行,則啟動它。
#/etc/init.d/init.wbem start
3).啟動SMC
#/usr/sadm/bin/smc &
由于SMC權限管理是基于角色的,所以大家要以root身份進入,才能查看全部日志信息。
?
二、Sco Openserver系統的GUI日志分析工具
?
sco openserver 系統日志存放位置
? /usr/adm/messages一般系統事件記錄
? /usr/adm/hwconfig
? /usr/adm/syslog主要系統事件記錄
/usr/internet/ns_httpd/httpd-80/logs Web日志
一般情況下還需要注意以下幾個文件:wtmp(用戶登錄記錄)、wtmpx、sulog(用戶以其他用戶身份登錄記錄)
?
我們除了命令行外,我們可以使用GUI工具對日志進行查詢等管理操作
#cd /opt/K/SCO/Unix/5.0.5Eb/sa /eventlog
#eventlogGUI
?
選擇那些日志將有/var/adm/syslog 記錄,之后我們可以開始正式查看日志內容
#cd /opt/K/SCO/Unix/5.0.5Eb/sa/systemlogs
#systemlogsGUI
?
三、Mac OS X 的GUI日志查詢工具
?
對于Mac Os系統的日志大家可能不常見到,有時在取證過程中常常需要,這里總結出常用的日志列表,如表1-14所示。另外在Apple Mac OS X 9 以上系統就就包含了日志查詢的工具,如圖1-34所示,左邊一欄是系統的所有日志的列表,右邊對應了某條日志的內容,右上方的搜索區域,還能可以根據關鍵字進行查詢,使用還是相當方便的。
表 1-14 Mac系統主要日志
名稱 | 路徑 |
Apple系統日志消息 | /var/log/asl |
***、PPPoE日志 | /var/log/ppp.log |
打印機訪問日志 | /var/log/cups/access_log |
電源管理日志 | /usr/bin/pmset-g.log |
防火墻日志 | /var/log/appfirewall.log |
文件系統修復日志 | /Users/username/Library/logs/fsck_hfs.log |
系統診斷信息 | /var/log/DiagnosticMessages |
?
不僅是Cisco IOS操作系統是基于BSD內核,就連Apple這樣優秀的操作系統也是基于BSD內核。對于Apple Mac OS X防火墻而言,其實你要是懂得Cisco防火墻就并不難理解了,man一下ipfw就能看出,它其實比Linux下的netfilter更簡單。下面就來看個例子:例如我們要禁止ping服務器,也就是禁掉icmp,在表1-15中顯示了不同操作系統實現方法。
表1-15 各操作系統之間實現方法對比
操作系統 | 命令 |
MAC OS | ipfw add deny icmp from any to any |
Cisco Route | access-list 100 deny icmp any any echo |
Linux | iptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -j DROP |
細心的讀者會觀察到這和cisco命令十分相似,如果系統開啟了防火墻功能,系統將把防火墻日志記錄到appifrewall.log文件中,下面對標準日志做以下說明。
#cat /var/log/appfirewall.log
Jan 15 18:44:47 localhost socketfilterfw[49251]<info>:Deny netbiosd data in for 192.168.11.6:137 to port 137 proto=17
… …
??? RFC768中規定協議號17代表UDP協議17號表示是上層即傳輸層是udp協議,udp 137 給計算機提供獲得和保護NETBIOS名稱。
如果你想嘗試在這些系統中分析日志,可以到這里下載實驗環境:http://chenguang.blog.51cto.com/350944/1580937?
?
更多原創的內容請參考《Unix/Linux網絡日志分析與流量監控》一書
總結
以上是生活随笔為你收集整理的Solaris、Mac OS系统日志分析工具的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: js 求时间差 字符串转化为日期
- 下一篇: linux 笔记--系统启动流程