Análisis forense de Linux.
Los administradores de sistemas linux deben conocer que es lo que sucede en el sistema, para poder lograrlo nos vamos a valer de los logs.
Log: es un archivo de texto plano, donde se guarda la información de cada suceso que ocurre en un equipo. Estos archivos de Logs se guardan por lo general en “/var/log” donde hay una extensa lista de archivos que guardan información.
Comandos para ver los logs
El más común es tail muestra las últimas 10 líneas del archivo
tail /var/log/messages
Ver las últimas 20 lineas
tail -n 20 /var/log/messages
Abrir el fichero en pantalla y dejarlo abierto para que se vaya actualizando automáticamente
tail -f /var/log/messages
Si queremos ver al instante todo lo que esta pasando en nuestro sistema, solo hay que añadir los logs que queramos monitorizar al siguiente comando:
tail -f --retry /var/log/syslog /var/log/auth.log
Veamos una pequeña lista de logs y que guardan:
- /var/log/messages: Los generales, organizados por categorías, información (info), notificación (notice) o aviso (warn).
- /var/log/kern.log: Logs del kernel.
- /var/log/auth.log: Logs de autenticación, tanto de inicio de sesión en el servidor como de escalada de privilegios (su).
- /var/log/dmesg: Logs con información de arranque del sistema y conexiones de hardware principalmente.
- /var/log/debug Información de depuración de los programas.
- /var/log/Xorg.0.log Información sobre el entorno gráfico.
- /var/log/mail.log Logs del servidor de correo.
- /var/log/boot.log Información del arranque
- /var/log/dmesg Información de arranque del sistema y conexiones de hardware principalmente.
- /var/log/user.log – Contiene información acerca de todos los logs a nivel de usuario.
- /var/log/cups – Contiene información sobre todo lo relacionado con las impresoras.
- /var/log/cron – Cada vez que el daemon cron (o anacron) inicia un trabajo, registra la información acerca de dicho trabajo en este log.
less /var/log/messages.
No hay comentarios.:
Publicar un comentario