In questa esercitazione si evidenziano le tecniche per identificare i file in cui vengono scritti i log di sistema. Questa operazione č molto utile quando si ha a che fare con sistemi Unix che non si conoscono e si vuole verificare, tramite i log, la presenza di eventi particolari.
1 - Analizzando il file di configurazione di syslog, identificare e visualizzare tutti i log di sistema (gestiti da syslog)
2 - Analizzare le directory /var
, /var/log
e analoghe per visualizzare i file contenuti, cercando di elencarli in ordine di data di modifica per evidenziare quelli che vengono aggiornati frequentemente
3 - Utilizzare lsof
per cercare di capire se fra i file aperti ci sono log che determinate applicazioni usano senza passare per syslog.
Comandi necessari
cat /etc/syslogd.conf
Visualizza il file di configurazione di syslog, in cui sono elencati i file dove syslog scrive.
ls -latr
Visualizza il contenuto dei file di una directory elencandoli dal pių vecchio al pių recente (come tempi di modifica).
lsof | grep log
Metodo empirico, non necessariamente funzionante al 100% che visualizza di tutti i file aperti quelli che contengono le lettere "log".
Analisi, monitoring, rotazione e gestione dei log di sistema. Configurazione di syslogd.
Intrusion detection e analisi dei logOverview sugli strumenti di intrusion detection e analisi del sistema