Linux下重要日志文件及查看方式(3)

# less /var/log/cron-20090830

图9 使用less命令查看日志

上面的命令将显示/var/log/yum.log文件的内容，可以使用q来停止查看文件。

其他方式

Linux中的日志文件对于系统的故障诊断和维护来说至关重要。许多诸如WWW、FTP、SMTP等网络应用服务的Linux日志记录都是记录到专门指定的文本文件中(比如access.log，error.log等等)，所以不需要专门的工具来查看这些文件。用户可以选择Vi、gEdit等简单的文本编辑工具查看使用。

3、Linux日志使用的重要原则

系统管理人员要应该提高警惕，随时注意各种可疑状况，并且按时和随机地检查各种系统日志文件，包括一般信息日志、网络连接日志、文件传输日志以及用户登录日志等。在检查这些日志时，要注意是否有不合常理的时间记载。例如：

 用户在非常规的时间登录;
 不正常的日志记录，比如日志的残缺不全或者是诸如wtmp这样的日志文件无故地缺少了中间的记录文件;
 用户登录系统的IP地址和以往的不一样;
 用户登录失败的日志记录，尤其是那些一再连续尝试进入失败的日志记录;
 非法使用或不正当使用超级用户权限su的指令;
 无故或者非法重新启动各项网络服务的记录。
尤其提醒管理人员注意的是：日志并不是完全可靠的。高明的黑客在入侵系统后，经常会打扫现场。所以需要综合运用以上的系统命令，全面、综合的进行审查和检测，切忌断章取义，否则很难发现入侵或者做出错误的判断。

另外，在有些情况下，可以把日志送到打印机，这样网络入侵者怎么修改日志都没有用。并且，通常要广泛记录日志。另外，syslog设备是一个攻击者的显著目标。一个为其他主机维护日志的系统对于防范服务器攻击特别脆弱，因此要特别注意。