15、基础 Linux 安全：日志管理与入侵者检测

基础 Linux 安全：日志管理与入侵者检测

1. 系统日志记录器概述

系统日志记录器是用于记录 Linux 内核消息的工具。日志中的信息不仅包含 Linux 内核特定的内容，还涵盖了其他应用程序的相关信息，例如邮件日志以及由 cron 命令生成的自动化日志。

系统日志记录器由名为 syslogd 的守护进程运行，该守护进程在系统启动时启动。syslogd 运行后，会将内核或其相关应用程序输出的信息记录到主日志文件——messages 文件中。此文件位于 /var/log 目录下，与其他应用程序使用的日志文件存放在一起。

messages 文件是一个文本文件，当内核有需要记录的重要事件时，syslogd 会持续更新该文件。每次生成新的日志条目时，syslogd 守护进程会将其追加到 messages 文件中。日志条目的语法格式如下：

date time hostname message

其中，date 和 time 表示事件发生的日期和时间戳，hostname 是机器的主机名，message 是关于该事件的信息。

例如，以下是一个日志条目的示例：

May 16 11:11:33 localhost avahi-daemon[4355]: Registering new address record for 192.168.1.11 on eth0.

从这个示例可以看出，日志记录于 5 月 16 日上午 11:11