Linux系统日志清除实验

实验目的

1、了解Linux日志的作用。 2、掌握删除Linux日志的方法。

所谓日志（Log）是指系统所指定对象的某些操作和其操作结果按时间有序的集合。每个日志文件由日志记录组成，每条日志记录描述了一次单独的系统事件。通常情况下，系

1、介绍Linux日志的作用。 2、手动删除Linux日志。

Linux操作系统

1、点击“打开控制台”

2、Login。

以root为用户名，123456为password登录。

3、查看Linux系统日志。

步骤1：/var/log/messages是系统启动后的信息和错误日志，是Linux中最常用的日志之一。输入“cat /var/log/messages”命令查询以下日志内容，注意“cat”后有空格符，执行结果如图3所示。

其他日志查询命令如下：

/var/log/secure与安全相关的日志信息；

/var/log/maillog与邮件相关的日志信息；

/var/log/cron与定时任务相关的日志信息；

/var/log/spooler与UUCP和news设备相关的日志信息；

/var/log/boot.log守护进程启动和停止相关的日志消息。

步骤2：wtmp位于/var/log下，是二进制日志，保存了登录系统的信息。执行“who /var/log/wtmp”、“last”命令，查询wtmp文件的内容。图4为“who /var/log/wtmp”命令执行结果，图5为“last”命令执行结果。

步骤3：使用“history”命令，查询最近所执行过的命令。

4、手动删除Linux日志。

常用的日志文件如下：

access-log：纪录HTTP/web的传输；

acct/pacct：纪录用户命令；

aculog：纪录MODEM的活动；

btmp：纪录失败的纪录；

lastlog：纪录最近几次成功登录的事件和最后一次不成功的登录；

messages：从syslog中记录信息（有的链接到syslog文件）；

syslog：从syslog中记录信息（通常链接到messages文件）；

utmp：纪录当前登录的每个用户；

wtmp：一个用户每次登录进入和退出时间的永久纪录；

xferlog：纪录FTP会话一般我们要清除的日志有：lastlog，utmp(utmpx)，wtmp(wtmpx)，messages，syslog。

步骤1：输入命令：“ls/var/log”，查看/var/log目录下的日志文件，如图7所示。

步骤2：可以在root用户身份下使用“rm -f”命令将对应的日志删除，也可以使用“> ”将内容清空，以上两种方式虽然能够彻底的消除攻击者留下的痕迹，但是会被系统管理员所发现，因此，可以选择使用编辑器对日志文件进行选择性的修改，“vi /var/log/wtmp”。

注意，“rm -f”强制性很大，被误删的文件很难恢复。

使用root身份登陆，执行命令：“rm –f /var/log/wtmp”，再用“ls /var/log”命令查看/var/log目录下的日志文件，发现wtmp被删除，如图8所示。

步骤3：同理可以对其他日志文件进行修改、删除操作。