/var/目录详解
var目錄
/var 包括系統(tǒng)運(yùn)行時要改變的數(shù)據(jù)。其中包括每個系統(tǒng)是特定的,即不能夠與其他計算機(jī)共享的目錄,如/var/log,/var/lock,/var/run。有些目錄還是可以與其他系統(tǒng)共享,如/var/mail, /var/cache/man, /var/cache/fonts,/var/spool/news。var目錄存在的目的是把usr目錄在運(yùn)行過程中需要更改的文件或者臨時生成的文件及目錄提取出來,由此可以使usr目錄掛載為只讀的方式。隱含要求var目錄必須掛載為可以讀寫的方式。
通過對于該目錄的分析注意如下的需要
1) 各個目錄存在的目的以及作用。
2) 通過目錄中的信息能夠獲得什么信息,如何對于該信息進(jìn)行訪問。
3) 對于目錄中的文件操作是否安全。
/var/account/pact
目的:該目錄保存系統(tǒng)中使用的進(jìn)程記錄。當(dāng)一個進(jìn)程終止時,把每個進(jìn)程向統(tǒng)計文件(pacct或acct)中寫一個紀(jì)錄。進(jìn)程統(tǒng)計的目的是為系統(tǒng)中的基本服務(wù)提供命令使用統(tǒng)計。該文件可以通過數(shù)據(jù)的工具(sa,ac)進(jìn)行分析。
**使用:**進(jìn)程統(tǒng)計子系統(tǒng)缺省不激活,它必須啟動。在Linux系統(tǒng)中啟動進(jìn)程統(tǒng)計使用accton命令,必須 用root身份來運(yùn)行。accton命令的形式accton file,file必須先存在。如果不存在則先使用touch命令來創(chuàng)建pacct文件:touch /var/log/pacct,然后運(yùn)行accton: accton /var/account/pacct。一旦accton被激活,就可以使用lastcomm命令監(jiān)測系統(tǒng)中任何時候執(zhí)行的命令。若要關(guān)閉統(tǒng)計,可以使用不帶任何參數(shù)的accton命令。
pact文件不可用cat直接讀取其中的內(nèi)容。
注意:該文件會大量增長,需要注意維護(hù)(刪除,轉(zhuǎn)儲)
/var/crash
目的:系統(tǒng)崩潰時轉(zhuǎn)儲的文件,可以通過該文件分析down機(jī)的原因。
使用: crash工具對于該目錄中的文件進(jìn)行分析。
(參考文檔:linux-2.6.20.6/Documentation/kdump/kdump.txt)
/var/cache
**目的:**存放應(yīng)用程序的緩存數(shù)據(jù),保存在該目錄中的數(shù)據(jù)應(yīng)用程序可以再生成,所以該目錄中的數(shù)據(jù)丟失后不會影響系統(tǒng)。
/var/empty /var/games /var/lib該目錄保存系統(tǒng)或者某個應(yīng)用程序運(yùn)行過程中的狀態(tài)信息。用戶不允許更改該目錄下的文件。
/var/mail
郵件存儲文件的目錄,在CGS中鏈接到/var/spool/mail。在fhs文檔中明確提出把它從/var/spool/mail提取出來以便于多主機(jī)多個應(yīng)用程序共同使用。
/var/opt
add-on application在該目錄下存放變量,在/opt下存放靜態(tài)變量。
/var/tmp
應(yīng)用程序產(chǎn)生的臨時文件,可以定時整理。/usr/tmp -> …/var/tmp。
/var/lock
許多程序遵循在/var/lock 中產(chǎn)生一個鎖定文件的約定,以支持他們正在使用某個特定的設(shè)備或文件。其他程序注意到這個鎖定文件,將不試圖使用這個設(shè)備或文件。注意該目錄不可以隨便更改。
/var/run
保存著自系統(tǒng)啟動后的在該系統(tǒng)中正在運(yùn)行的進(jìn)程pid號,并非所有的進(jìn)程都在該目錄下存在pid文件。每個pid文件的作用與其應(yīng)用程序相關(guān),基本的作用就是標(biāo)志該進(jìn)程已經(jīng)運(yùn)行,且標(biāo)志出該進(jìn)程的pid號。在/var/run/subsys/目錄中有對應(yīng)的文件。當(dāng)系統(tǒng)啟動后不用刪除其中的文件,系統(tǒng)啟動后會清除該目錄中的文件。/var/run/utmp是一個二進(jìn)制文件,記錄當(dāng)前登錄系統(tǒng)的用戶信息。可用如who、w、users、finger命令顯示當(dāng)中的內(nèi)容。該日志文件并不能包括所有精確的信息,因?yàn)槟承┩话l(fā)錯誤會終止用戶登錄會話,而系統(tǒng)沒有及時更新utmp記錄,因此該日志文件的記錄不是百分之百值得信賴的。
/etc/init.d/sendmail文件對于/var/run和/var/lock/subsys目錄中的文件的有使用事例
/var/spool
保存某些需要后續(xù)進(jìn)程繼續(xù)處理的數(shù)據(jù)。當(dāng)進(jìn)程處理完成保存的數(shù)據(jù)文件后,會把該文件刪除。該目錄中的數(shù)據(jù)不要人工進(jìn)行刪除。
查找給目錄中各個子目錄的歸屬方法(以目錄/var/spool/voice為例):
[root@localhost spool]# rpm -qf /var/spool/voicemgetty-voice-1.1.33-9.fc6由此可以找出/var/spool/voice目錄與mgetty-voice包相關(guān),從而可以使用如下命令來分析mgetty-voice包的命令及其作用。
/var/local
存放/usr/local 中安裝的程序的可變數(shù)據(jù)(即系統(tǒng)管理員安裝的程序)。
/var/preserve
編輯器存放的臨時文件
/var/log /var/log/boot.log該文件記錄了系統(tǒng)在引導(dǎo)過程中發(fā)生的事件,就是Linux系統(tǒng)開機(jī)自檢過程顯示的信息。Redhat決定淘汰對initlog的使用,所以在/etc/init.d/functions中將所有調(diào)用initlog的命令給注釋起來了,由此該文件為空。
/var/log/cron
該日志文件記錄crontab守護(hù)進(jìn)程crond所派生的子進(jìn)程的動作。格式如下:
Aug 17 07:40:01 localhost crond[9434]: (root) CMD (/usr/lib/sa/sa1 1 1)
/var/log/maillog
該日志文件記錄了每一個發(fā)送到系統(tǒng)或從系統(tǒng)發(fā)出的電子郵件的活動。它可以用來查看用戶使用哪個系統(tǒng)發(fā)送工具或把數(shù)據(jù)發(fā)送到哪個系統(tǒng)。
/var/log/syslog
默認(rèn)RedHatLinux不生成該日志文件,但可以配置/etc/syslog.conf讓系統(tǒng)生成該日志文件。它和/etc/log/messages日志文件不同,它只記錄警告信息,常常是系統(tǒng)出問題的信息,所以更應(yīng)該關(guān)注該文件。要讓系統(tǒng)生成該日志文件,在/etc/syslog.conf文件中加上:*.warning /var/log/syslog該日志文件能記錄當(dāng)用戶登錄時login記錄下的錯誤口令、Sendmail的問題、su命令執(zhí)行失敗等信息。
/var/log/lastlog
該日志文件記錄最近成功登錄的事件和最后一次不成功的登錄事件,由login生成。在每次用戶登錄時被查詢,該文件是二進(jìn)制文件,需要使用lastlog命令查看,根據(jù)UID排序顯示登錄名、端口號和上次登錄時間。如果某用戶從來沒有登錄過,就顯示為"Neverloggedin"。該命令只能以root權(quán)限執(zhí)行。
/var/log/wtmp
該日志文件永久記錄每個用戶登錄、注銷及系統(tǒng)的啟動、停機(jī)的事件。因此隨著系統(tǒng)正常運(yùn)行時間的增加,該文件的大小也會越來越大,增加的速度取決于系統(tǒng)用戶登錄的次數(shù)。該日志文件可以用來查看用戶的登錄記錄,last命令就通過訪問這個文件獲得這些信息,并以反序從后向前顯示用戶的登錄記錄,last也能根據(jù)用戶、終端tty或時間顯示相應(yīng)的記錄。
/var/run/utmp 見/var/run目錄
以上提及的3個文件(/var/log/wtmp、/var/run/utmp、/var/log/lastlog)是日志子系統(tǒng)的關(guān)鍵文件,都記錄了用戶登錄的情況。這些文件的所有記錄都包含了時間戳。這些文件是按二進(jìn)制保存的,故不能用less、cat之類的命令直接查看這些文件,而是需要使用相關(guān)命令通過這些文件而查看。
/var/log/xferlog
該日志文件記錄FTP會話,可以顯示出用戶向FTP服務(wù)器或從服務(wù)器拷貝了什么文件。該文件會顯示用戶拷貝到服務(wù)器上的用來入侵服務(wù)器的惡意程序,以及該用戶拷貝了哪些文件供他使用。
該文件的格式為:第一個域是日期和時間,第二個域是下載文件所花費(fèi)的秒數(shù)、遠(yuǎn)程系統(tǒng)名稱、文件大小、本地路徑名、傳輸類型(a:ASCII,b:二進(jìn)制)、與壓縮相關(guān)的標(biāo)志或tar,或"_"(如果沒有壓縮的話)、傳輸方向(相對于服務(wù)器而言:i代表進(jìn),o代表出)、訪問模式(a:匿名,g:輸入口令,r:真實(shí)用戶)、用戶名、服務(wù)名(通常是ftp)、認(rèn)證方法(l:RFC931,或0),認(rèn)證用戶的ID或"*"。
/var/log/Xfree86.x.log
該日志文件記錄了X-Window啟動的情況。
sysklogd
syslogd可以簡單地被稱為記錄系統(tǒng)活動的一個daemons。比如可以記錄誰,在什么時間,在哪里,做了什么事情;也可以記錄系統(tǒng)曾經(jīng)發(fā)生過什么事情,比如什么時候重新引導(dǎo)過、軟硬件的錯誤信息等;當(dāng)然也記錄著您系統(tǒng)上運(yùn)行著的服務(wù)的信息。通常,syslog 接受來自系統(tǒng)的各種功能的信息,每個信息都包括重要級。/etc/syslog.conf 文件決定 syslogd 如何根據(jù)設(shè)備和信息重要級別來報告信息。
/usr/include/sys/syslog.h
處理流程
/etc/syslog.conf
/etc/syslog.conf 文件使用下面的形式
acility.level action
空白行和以#開頭的行可以忽略。Facility.level 字段也被稱做 seletor。應(yīng)該使用一次或多次 tab 鍵分隔 facility 和 action。大部分 Linux 使用這些空格為分隔符。
facility
facility 指定 syslog 功能,主要包括以下這些:auth 認(rèn)證系統(tǒng),如login或su,即詢問用戶名和口令cron 系統(tǒng)執(zhí)行定時任務(wù)時發(fā)出的信息daemon 某些系統(tǒng)的守護(hù)程序的 syslog,如由in.ftpd產(chǎn)生的logkern 內(nèi)核的信息lpr 打印機(jī)的信息mail 處理郵件的守護(hù)進(jìn)程發(fā)出的信息mark 定時發(fā)送消息的時標(biāo)程序news 新聞組的守護(hù)進(jìn)程的信息user 本地用戶的應(yīng)用程序的信息uucp uucp子系統(tǒng)的信息local0----local7 與自定義程序使用,例如使用 local5 做為 ssh 功能* 表示所有可能的信息來源level
與每個功能對應(yīng)的優(yōu)先級是按一定順序排列的,emerg 是最高級,其次是 alert,依次類推。缺省時,在 /etc/syslog.conf 記錄中指定的級別為該級別和更高級別。如果希望使用確定的級別可以使用兩個運(yùn)算符號!(不等)和=。
user.=info ----表示告知 syslog 接受所有在 info 級別上的 user 功能信息。
syslog 級別如下:
emerg 或 panic 該系統(tǒng)不可用alert 需要立即被修改的條件crit 阻止某些工具或子系統(tǒng)功能實(shí)現(xiàn)的錯誤條件err 阻止工具或某些子系統(tǒng)部分功能實(shí)現(xiàn)的錯誤條件warning 預(yù)警信息notice 具有重要性的普通條件info 提供信息的消息debug 不包含函數(shù)條件或問題的其他信息none 沒有重要級,通常用于排錯action
action字段所表示的活動具有許多靈活性,特別是,可以使用名稱管道的作用是可以使 syslogd 生成后處理信息。
syslog 主要支持以下活動
file 指定文件的絕對路徑terminal 或 print 完全的串行或并行設(shè)備標(biāo)志符@host 遠(yuǎn)程的日志服務(wù)器username 發(fā)送信息到使用 write 的指定用戶中named pipe 指定使用 mkfifo 命令來創(chuàng)建的 FIFO 文件的絕對路徑。由于 syslogd 在系統(tǒng)非常繁忙時,可能會丟失信息,所以,可以用 cyclog 替換 syslog。
參考文檔《Filesystem Hierarchy Standard》
http://www.ibm.com/developerworks/cn/linux/security/l-ossec/part1/
http://www.ibm.com/developerworks/cn/linux/security/l-ossec/part2/index.html
http://www.ibm.com/developerworks/cn/linux/security/l-ossec/part3/
(原文鏈接:https://blog.csdn.net/fyinsonw/article/details/4113124)
總結(jié)
- 上一篇: jquery变量var的使用
- 下一篇: 【FinE】在险价值(VaR)计算