|
iplogの見方(2002/12/05)のまとめ[発表者:高橋良,野口直人]1.ディレクトリ 2.iplogの見方 3.ログを見るときに使いそうなコマンド 4.viの主なコマンド 1.ディレクトリ[root@fujico ]# ls bin/ dev/ home/ lib/ misc/ opt/ root/ tmp/ var/ boot/ etc/ initrd/ lost+found/ mnt/ proc/ sbin/ usr/ [root@fujico /var]# ls cache/ lib/ log/ namazu/ preserve/ state/ yp/ db/ local/ lost+found/ named/ run/ tmp/ empty/ lock/ man2html/ nis/ spool/ webmin/ [root@fujico log]# ls XFree86.0.log cron.5.gz ksyms.3 messages.3.gz secure.swp XFree86.9.log cron.6.gz ksyms.4 messages.4.gz spooler boot.log cron.7.gz ksyms.5 messages.5.gz spooler.1.gz boot.log.1.gz cron.8.gz ksyms.6 messages.6.gz spooler.10.gz boot.log.10.gz cron.9.gz lastlog messages.7.gz spooler.2.gz boot.log.2.gz dmesg maillog messages.8.gz spooler.3.gz boot.log.3.gz iplog maillog.1.gz messages.9.gz spooler.4.gz boot.log.4.gz iplog.1.gz maillog.10.gz messages.swp spooler.5.gz boot.log.5.gz iplog.10.gz maillog.2.gz ppxp/ spooler.6.gz boot.log.6.gz iplog.2.gz maillog.3.gz secure spooler.7.gz boot.log.7.gz iplog.3.gz maillog.4.gz secure.1.gz spooler.8.gz boot.log.8.gz iplog.4.gz maillog.5.gz secure.10.gz spooler.9.gz boot.log.9.gz iplog.5.gz maillog.6.gz secure.2.gz webmin/ canna/ iplog.6.gz maillog.7.gz secure.3.gz wtmp cron iplog.7.gz maillog.8.gz secure.4.gz wtmp.1.gz cron.1.gz iplog.8.gz maillog.9.gz secure.5.gz xdm-errors.log cron.10.gz iplog.9.gz messages secure.6.gz cron.2.gz ksyms.0 messages.1.gz secure.7.gz cron.3.gz ksyms.1 messages.10.gz secure.8.gz cron.4.gz ksyms.2 messages.2.gz secure.9.gz ・これらの中で重要なのは,iplog,messages,boot logの順 ・「***.gz」は,前週より前のログが自動的にgz形式に圧縮されたものである. 2.iplogの見方[ryo@fujico ryo]$ sudo -s Password: [root@fujico ryo]# cd /var/log [root@fujico log]# less iplog Dec 1 11:23:37 TCP: http connection attempt from 200.198.84.102:49612 Dec 1 12:47:22 last message repeated 2 times Dec 1 12:47:22 ICMP: echo reply from yellow.ep.sci.hokudai.ac.jp (133.87.45.70) (40 bytes) Dec 1 17:29:41 TCP: ms-sql-s connection attempt from 164.116.19.36:4850 Dec 1 23:04:51 last message repeated 1 times Dec 1 23:04:51 ICMP: echo from optivity.cc.hokudai.ac.jp (133.87.1.5) (64 bytes) Dec 3 13:24:29 UDP: traceroute from 192.168.11.25 Dec 4 10:22:29 UDP: dgram to snmp from optivity.cc.hokudai.ac.jp (133.87.1.5):41637 (36 data bytes) Dec 4 13:28:01 TCP: ftp connection attempt from 218.18.52.61:21 Dec 4 17:40:18 TCP: auth connection attempt from grey.ep.sci.hokudai.ac.jp (133.87.45.71):58013 Dec 4 18:24:55 TCP: auth connection attempt from grey.ep.sci.hokudai.ac.jp (133.87.45.71):58792 [root@fujico log]# TCP IP層やその下位の物理的な媒体の特性により、送信側が送り出したパケットが消失したり、遅延 によって順序が入れ替わって到着したり、再送によって重複して到着したりすることがあるが、そ れらの影響を排除し、アプリケーションプログラムにとって使いやすい、信頼性のある通信路を確 保するのがTCPの機能である。 UDP UDPは、その下位層にあるIPパケットをほとんどそのままアプリケーションから使えるようにした だけのプロトコルである。そのため、パケットが相手に確実に届くという保証はないし、再送や受 信確認応答、フロー制御、大きなデータの分割や再合成(フラグメント化)などはすべてアプリケ ーション側で自分で制御する必要がある。ただし、これらのオーバーヘッドがないので、処理は簡 単であり、高速という特徴がある。 ICMP ICMPは、TCP/IPパケットの転送中において発生した各種のエラーの通知や、動作の確認などを行 なうために利用される。(エコー検査:pingコマンドで使用している,相手先ノードがアクティブ かどうかの検査) ○指定した文字列を含む行(含まない行)を表示したいとき. less iplog|grep ○○|less →○○を含むもののみ表示する. less iplog|grep -v ○○|less →○○を含まないものを表示する. 例:less iplog|grep scan|less ・・・scanを含む行を表示する. 注:grey以外からのport scanを発見したら,直ちにサーバー管理者に連絡しましょう. ○ログに残っている人が何者かを知りたいとき. [root@fujico log]# nslookup 218.18.52.61 Server: yellow.ep.sci.hokudai.ac.jp Address: 133.87.45.70 *** yellow.ep.sci.hokudai.ac.jp can't find 218.18.52.61: Non-existent host/domain (Name: yellow.ep.sci.hokudai.ac.jp Address: 133.87.45.70 ) 3.ログを見るときに使いそうなコマンドwho−ログインしているユーザーを表示する. last−ログイン履歴を表示する. ls−指定したディレクトリの内容を表示する. cd−指定したディレクトリに作業ディレクトリを移動する. cd // →一番上のディレクトリへ. cd .. →1つ前のディレクトリに戻る. cd ~ →自分のホームディレクトリへ. grep−指定したファイルの内容から,指定したパターンと一致する文字列を検索し,それが含まれる行を表示する. nslookup−DNSサーバーに問い合わせを行い,指定したホストのFQDNからIPアドレスを検索する. traceroute−指定したホストへ調査パケットを送り,そのパケットが通った経路をトレースする. 4.viの主なコマンドi カーソルの前からテキストを入力する. a カーソルの次の位置からテキストを入力する. x カーソル位置にある1文字を削除する. dd カーソルが位置する行を削除する. :q viの終了. :w ファイルに保存する. :q! 強制終了. Esc コマンド入力モードへ切り替える. |
(記述とページ作成は高橋良が行いました)
更新日 2003/01/10(高橋良)