详查系统记录 追踪黑客入侵线索

核心提示： 3.惊叹号(！) 惊叹号表示不要记录目前这一等级以及其上的等级，记录到哪边去?一般的syslogd都提供下列的管道以供您记录系统发生的什么事：1.一般档案这是最普遍的方式，详查系统记录 追踪黑客入侵线索(4)，你可以指定好档案路径与档案名称，但是必须以目录符号「/」开始，你可能要从好几十M

3.惊叹号(！) 惊叹号表示不要记录目前这一等级以及其上的等级。

记录到哪边去?

一般的syslogd都提供下列的管道以供您记录系统发生的什么事：

1.一般档案

这是最普遍的方式。你可以指定好档案路径与档案名称，但是必须以目录符号「/」开始，系统才会知道这是 一个档案。例如/var/adm/maillog表示要记录到/var/adm下面一个称为maillog的档案。如果之前没有这个档案 ，系统会自动产生一个。

2.指定的终端机或其他设备

你也可以将系统纪录写到一个终端机或是设备上。若将系统纪录写到终端机，则目前正在使用该终端机的使 用者就会直接在萤幕上看到系统讯息(例如/dev/console或是/dev/tty1.你可以拿一个萤幕专门来显示系统讯息 )。若将系统纪录写到印表机，则你会有一长条印满系统纪录的纸(例如/dev/lp0)。

3.指定的使用者

你也可以在这边列出一串使用者名称，则这些使用者如果正好上线的话，就会在他的终端机上看到系统讯息( 例如root，注意写的时候在使用者名称前面不要再加上其他的字)。

4.指定的远端主机

这种写法不将系统讯息记录在连接本地机器上，而记录在其他主机上。有些情况系统碰到的是硬碟错误，或是万一有人把主机推倒，硬碟摔坏了，那你要到哪边去拿系统纪录来看呢？而网络卡只要你不把它折断，应该是比硬碟机耐摔得多了。因此，如果你觉得某些情况下可能纪录没办法存进硬碟里，你可以把系统纪录丢到其他的主机上。如果你要这样做，你可以写下主机名称，然后在主机名称前面加上「@」符号(例如@ccunix1.variox.int，但被你指定的主机上必须要有syslogd)。

在以上各种纪录方式中，都没有电子邮件这项。因为电子信件要等收件者去收信才看得到，有些情况可能是很紧急的， 没办法等你去拿信来看(BSD的Manual Page写着「when you got mail，it’s already too late...」 :-P)。以上就是syslog各项纪录程度以及纪录方式的写法，各位读者可以依照自己的需求记录下自己所需要的内容。但是这些纪录都是一直堆上去的，除非您将档案自行删除掉，否则这些档案就会越来越大。有的人可能会在syslogd.conf里面写：*.*/var/log/everything要是这样的话，当然所有的情况都被你记录下来了。但是如果真的系统出事了，你可能要从好几十MB甚至几百MB的文字中找出到底是哪边出问题，这样可能对你一点帮助都没有。因此，以下两点可以帮助你快速找到重要的纪录内容：