Следователю и эксперту вряд ли стоит рассчитывать на то, что пользователь, использующий компьютерную систему в своей противоправной деятельности, станет протоколировать свои действия. Наоборот, следует ожидать, что он постарается избавиться от уличающих его сведений. Однако система по умолчанию сама фиксирует многие важные события, которые сохраняются в так называемых системных журналах. Далеко не все администраторы в достаточной степени осведомлены о возможностях протоколирования событий, пользователь системы часто о таких возможностях собственного компьютера может и не подозревать.
Интерес для администратора могут представлять файлы протоколов, а также файлы, которые создаются прикладными программами в процессе своего функционирования, но не являются объектом работы пользователя или протоколом работы прикладной программы. Файлы аудита могут иметь расширение .log , а системные файлы аудита обычно расширения не имеют.
Основные файлы системных протоколов (журналы) ОС Linux находятся в каталоге /var/log. Информация о функционировании системы и работе пользователей записывается системными программами в определённые файлы этого каталога. Большей частью журналы представляют собой текстовые файлы, в которые информация записывается построчно и последовательно. Некоторые файлы аудита являются двоичными и имеют специальную структуру, что требует для их просмотра использования специальных утилит, интерпретирующих содержимое этих файлов в удобный для просмотра вид.
Каталог /var/log обычно содержит следующие основные файлы аудита:
· cron – текстовый файл, содержащий информацию о фактах выполнения пользователями периодических заданий;
· debug – текстовый файл, содержащий отладочную информацию ядра системы и некоторых системных или прикладных программ;
· faillog – двоичный файл, содержащий информацию о неудачных попытках входа в систему (утилита для работы с этим файлом также называется faillog);
· lastlog – двоичный файл, содержащий информацию о последних входах в систему (утилита для работы с этим файлом – last);
· maillog – текстовый файл, содержащий информацию о работе почтовой системы sendmail+procmail;
· messages – текстовый файл, содержащий протоколируемую информацию о системе и процессах категории выше info и ниже warn (об уровнях значимости см. ниже);
· syslog – текстовый файл, содержащий протоколируемую информацию о системе и процессах категории warn;
· secure – текстовый файл, содержащий информацию о попытках получения и использования пользователями полномочий суперпользователя, о смене пароля, о регистрации и удалении пользователей и др.;
· wtmp – двоичный файл, содержащий информацию о всех регистрациях пользователей в системе (утилита для работы с этим файлом – last).
Наблюдение за событиями и их протоколирование производится с помощью системы регистрации syslog. Она состоит из трех компонентов:
· демона syslogd, который собственно отвечает за регистрацию событий,
· пользовательской программы logger,
· библиотечных функций openlog(), syslog() и closelog(), которые обслуживают службу регистрации сообщений.
Детали, связанные с использованием программы logger и вышеназванных библиотечных функций, с достаточной полнотой изложены в [1, 10].
Демон syslogd запускается автоматически процессом init из загрузочных сценариев и работает непрерывно до останова системы. Программ, обеспечивающих информацией службу регистрации, довольно много. К ним относятся такие известные программы, как su, sudo, getty, passwd, inetd, crond, login, halt и др. Источником сообщений ядра, кроме того, является файл специального устройства /dev/klogили /dev/log. Для отправки сообщения в файл протокола программа использует библиотечную функцию syslog()языка Си, а в сценариях, написанных на языке интерпретатора команд, используется утилита logger. Демон syslogd читает эти сообщения, фильтрует их и помещает в журнальные файлы. Фильтрующие параметры содержатся в текстовом конфигурационном файле /etc/syslog.conf.
Файл /etc/syslog.conf отличается простым форматом и состоит из строк, включающих два поля, разделенные одним или несколькими пробелами или знаками табуляции:
