详查系统记录 追踪黑客入侵线索

核心提示： A.在UNIX主机(ccunix1.variox.int)看netstatB.另一端在Windows95(workstation.variox.int)看netstat， 虽然是不同的作业系统，详查系统记录 追踪黑客入侵线索(2)，但netstat是不是长得很像呢？通信过程的纪录设定当然，

A.在UNIX主机(ccunix1.variox.int)看netstat

B.另一端在Windows95(workstation.variox.int)看netstat， 虽然是不同的作业系统，但netstat是不是长得很像呢？

通信过程的纪录设定

当然，如果你想要把网络连线纪录给记录下来，你可以用cron table定时去跑：

netstat＞＞filename

但是UNIX系统早已考虑到这一个需求，因此在系统中有一个专职记录系统事件的

Daemon:syslogd，应该有很多朋友都知道在UNIX系统的/var/adm下面有两个系统纪录档案：

syslog与messages，一个是一般系统的纪录，一个是核心的纪录。但是这两个档案是从哪边来的，又要如何设定呢？

系统的纪录基本上都是由syslogd (System Kernel Log Daemon)来产生，而syslogd的控制是由/etc/syslog.conf来做的。syslog.conf以两个栏位来决定要记录哪些东西，以及记录到哪边去。下面是一个 Linux系统所附上的yslog.conf档案，这也是一个最标准的syslog.conf写法：

格式就是这样子，第一栏写「在什么情况下」以及「什么程度」。然后用TAB键跳下一栏继续写「符合条件以后要做什么」。这个syslog.conf档案的作者很诚实，告诉你只能用TAB来作各栏位之间的分隔(虽然看来好像他也不知道为什么)。 第一栏包含了何种情况与程度，中间小数点分隔。另外，星号就代表了某一细项中的所有选项。详细的设定方式如下：

1.在什么情况：各种不同的情况以下面的字串来决定。

auth 关于系统安全与使用者认证方面

cron 关于系统自动排程执行(CronTable)方面

daemon 关于背景执行程式方面

kern 关于系统核心方面

lpr 关于印表机方面

mail 关于电子邮件方面

news 关于新闻讨论区方面