在linux的服务器下怎么知道根目录是什么

目录
0、架设Samba 服务器的前提；
01 查看文件内容和编辑文件的工具；
02 关于文件和目录相关；
03 用户和用户组相关；
04 进程管理；
1 Samba 简介
2 Samba 功能和应用范围
3 Samba 两个服务器相关启动程序、客户端及服务器配置文件等；
31 Samba 有两个服务器，一个是smbd，另一个是nmbd；
32 查看Samba 服务器的端口及防火墙；
33 查看Samba 服务器的配置文件；
34 Samba 在Linux 中的一些工具（服务器端和客户端）；
35 在Linux 中的常用工具，Windows查看Linux共享的方法 ；
351 在Linux系统中查看网络中Windows共享文件及Linux中的Samba共享文件；
352 在Windows中访问Linux Samba服务器共享文件的办法；
353 smbfs文件系统的挂载；
4 由最简单的一个例子说起，匿名用户可读可写的实现；
第一步： 更改smbconf
第二步：建立相应目录并授权；
第三步：启动smbd和nmbd服务器；
第四步：查看smbd进程，确认Samba 服务器是否运行起来了；
第五步：访问Samba 服务器的共享；
5、复杂一点的用户共享模型（适合10人左右的小型企业）；
51 共享权限设计实现的功能；
52 在服务器上创建相应的目录；
53 添加用户用户组，设置相应目录家目录的权限；
531 添加用户组；
532 添加用户；
533 添加samba用户，并设置密码；
534 配置相关目录的权限和归属；
54 修改Samba配置文件；
55 关于客户端访问；
551 Windows客户端访问；
++++++++++++++++++++++++++++++++++++++++++++++++
正文
++++++++++++++++++++++++++++++++++++++++++++++++
0、架设Samba 服务器的前提；
Linux是一个多用户的 *** 作系统，对任何服务器的架设与都用户、用户组及权限相关，这是 *** 作的基础。Samba服务器也不例外，对这些知识的掌握也是极为重要的。在Windows系统上虽然也能架共享文件服务器，但它的权限控制实在令人不敢恭维。如果我们用Windows系统来架网络共享文件系统，就是点鼠标也能把我们点迷糊了。但在Linux中，我们可以轻松的改一改配置文件，不到几分钟就能建好自己的Samba服务器。哪个更容易，只有你知道；
对于Samba服务器的架设，有的弟兄简单的认为，只要把改一下配置文件，创建好相应的目录就行了。其实并不是这样的，还要深入的工作，比如目录的权限和归属，也就是说能让哪个用户和用户组有读写权。只有把配置文件和共享目录的权限结合起来，才能架好Samba服务器；
下面是常用的基础知识，我们在本文中所涉及的内容都可以在下面的列表中找到相应的解释；
01 查看文件内容和编辑文件的工具；
《Linux 文件内容查看工具介绍》
《文件编辑器 vi》
02 关于文件和目录相关；
《Linux 文件类型 及文件的扩展名》
《Linux 文件和目录管理之列出、删除、复制、移动及改名》
《Linux 文件和目录的属性》
《简述Linux文件搜索》
03 用户和用户组相关；
《Linux 用户（user）和用户组（group）管理概述》
《用户（User）和用户组（Group）配置文件详解》
《Linux 用户管理工具介绍》
《Linux 用户（User）查询篇》
04 进程管理；
《Linux 进程管理》
1 Samba 简介
Samba（SMB是其缩写） 是一个网络服务器，用于Linux和Windows共享文件之用；Samba 即可以用于Windows和Linux之间的共享文件，也一样用于Linux和Linux之间的共享文件；不过对于Linux和Linux之间共享文件有更好的网络文件系统NFS，NFS也是需要架设服务器的；
大家知道在Windows 网络中的每台机器即可以是文件共享的服务器，也可以同是客户机；Samba 也一样能行，比如一台Linux的机器，如果架了Samba Server 后，它能充当共享服务器，同时也能做为客户机来访问其它网络中的Windows共享文件系统，或其它Linux的Sabmba 服务器；
我们在Windows网络中，看到共享文件功能知道，我们直接就可以把共享文件夹当做本地硬盘来使用。在Linux的中，就是通过Samba的向网络中的机器提供共享文件系统，也可以把网络中其它机器的共享挂载在本地机上使用；这在一定意义上说和FTP是不一样的。
Samba 用的netbios协议，如果您用Samba 不成功，
Linux与Windows 、Linux 和 Linux
2 Samba 功能和应用范围
Samba 应该范围主要是Windows和Linux 系统共存的网络中使用；如果一个网络环境都是Linux或Unix类的系统，没有必要用Samba，应该用NFS更好一点；
那Samba 能为我们提供点什么服务呢？主要是共享文件和共享打印机；
3 Samba 两个服务器相关启动程序、客户端及服务器配置文件等；
31 Samba 有两个服务器，一个是smb，另一个是nmb；
smb 是Samba 的主要启动服务器，让其它机器能知道此机器共享了什么；如果不打开nmb服务器的话，只能通过IP来访问，比如在Windows的IE浏览器上打入下面的一条来访问；
\\19216815\共享目录
\\19216815\opt
而nmb是解析用的，解析了什么呢？就是把这台Linux机器所共享的工作组及在此工作组下的netbios name解析出来；
一般的情况下，在RPM包的系统，如果是用RPM包安装的Samba ，一般可以通过如下的方式来启动Samba服务器；
[root@localhost ~]# /etc/initd/smb start
启动 SMB 服务： [ 确定 ]
启动 NMB 服务： [ 确定 ]
如果停止呢？就在smb后面加stop ；重启就是restart
[root@localhost ~]# /etc/initd/smb stop
[root@localhost ~]# /etc/initd/smb restart
对于所有系统来说，通用的办法就是直接运行smb 和nmb；当然您要知道smb和nmb所在的目录才行；如果是自己编译的Samba ，您应该知道您把Samba放在哪里了；
[root@localhost ~]# /usr/sbin/smbd
[root@localhost ~]# /usr/sbin/nmbd
查看服务器是否运行起来了，则用下面的命令；
[root@localhost ~]# pgrep smbd
[root@localhost ~]# pgrep nmbd
关掉Samba服务器，也可以用下面的办法，大多是通用的；要root权限来执行；
[root@localhost ~]# pkill smbd
[root@localhost ~]# pkill nmbd
32 查看Samba 服务器的端口及防火墙；
查看这个有何用呢？有时你的防火墙可能会把smbd服务器的端口封掉，所以我们应该smbd服务器所占用的端口；下面查看中，我们知道smbd所占用的端口是139和445 ；
[root@localhost ~]# netstat -tlnp |grep smb
tcp 0 0 0000:139 0000: LISTEN 10639/smbd
tcp 0 0 0000:445 0000: LISTEN 10639/smbd
如果您有防火墙，一定要把这两个端口打开。如果不知道怎么打开。可能你和我一样是新手，还是把防火墙规则清掉也行；
[root@localhost ~]# iptables -F
或
[root@localhost ~]# /sbin/iptables -F
33、查看Samba 服务器的配置文件；
如果我们是用Linux发行版自带的Samba软件包，一般情况下Samba服务器的配置文件都位于/etc/samba目录中，服务器的主配置文件是smbconf；也有有户配置文件 smbpasswd、smbusers和lmhosts等（最好您查看一下这些文件的内容）；还有一个文件是secretstdb，这个文件是Samba 服务器启动手自动生成的；我们慢慢根据教程的进度来适当地增加这些文件的说明吧；一下子都说出来，感觉内容太多；所以只能一点一点的来了；
34、Samba 在Linux 中的一些工具（服务器端和客户端）；
smbcacls smbcontrol smbencrypt smbmount smbprint smbstatus smbtree
smbclient smbcquotas smbmnt smbpasswd smbspool smbtar smbumount
smbd nmbd mount
其中服务器端的是smbd、nmbd、smbpasswd ；其它的大多是客户端；这些并不是都需要一定要精通的，但至少得会用几个；比如smbmount（也就是mount 加参数的用法），还用smbclient等；
35 在Linux 中的常用工具mount（smbmount）和smbclient；Windows查看Linux共享的方法 ；
351 在Linux系统中查看网络中Windows共享文件及Linux中的Samba共享文件；
一般的情况下，我们要用到smbclient；常用的用法也无非是下面的；
[root@localhost ~]# smbclient -L //ip地址或计算机名
smbclient 是Samba 的Linux 客户端，在Linux机器上用来查看服务器上的共享资源，也可以象FTP一样，用户可以登录Samba服务器，也可以上传put和下载get文件，遗憾的是对中文支持并不友好；
查看服务器上的资源；
smbclient -L //IP [-U 用户名]
如果您的Samba服务器配置为user模式，就要加 “-U 用户名“，如果是share模式，省略也可；
比如：
[root@localhost ~]# smbclient -L //19216813 -U sir01
Password: 请输入用户sir01的密码
如果您是用share模式，就可以不必理会用户和密码，直接用；
[root@localhost ~]# smbclient -L //19216813
Password: 直接按回车
登录用户身份Samba服务器共享
以用户身份登录共享后，能象FTP用户一样，下传和下载文件；用put表示上传，用get表示下载；
smbclient //IP地址/共享文件夹 -U 用户
说明：IP地址大家都知道，你不知道自己的IP地址，可以用/sbin/ifconfig 来查看； 共享文件夹是我们在smbconf中定义的[共享文件夹]，比如[sir01]。-U 用户名表示Samba 的用户；
比如：
[root@localhost ~]# smbclient //19216813/sir01 -U sir01
Password:
Domain=[LINUXSIR] OS=[Unix] Server=[Samba 3021b-2]
smb: \> ls
说明：登录到Samba服务器上，就可以用smbclient的一些指令，可以象用FTP指令一样上传和下载文件；
smbclient 命令说明
命令 说明
或help [command] 提供关于帮助或某个命令的帮助
![shell command] 执行所用的SHELL命令，或让用户进入 SHELL提示符
cd [目录] 切换到服务器端的指定目录，如未指定，则 smbclient 返回当前本地目录
lcd [目录] 切换到客户端指定的目录；
dir 或ls 列出当前目录下的文件；
exit 或quit 退出smbclient
get file1 file2 从服务器上下载file1，并以文件名file2存在本地机上；如果不想改名，可以把file2省略
mget file1 file2 file3 filen 从服务器上下载多个文件；
md或mkdir 目录 在服务器上创建目录
rd或rmdir 目录 删除服务器上的目录
put file1 [file2] 向服务器上传一个文件file1,传到服务器上改名为file2；
mput file1 file2 filen 向服务器上传多个文件
352 在Windows中访问Linux Samba服务器共享文件的办法；
这个简单吧，在网上领居，查看工作组就能看得到，或者在浏览器上输入如下的
\\ip地址或计算机名
这样就能看到这个机器上有什么共享的了，点鼠标 *** 作完成；如果访问不了，不要忘记把Linux的防火墙规划清掉，或让相应的端口通过；
353 在Linux中smbfs文件系统的挂载；
mount 的用法，加载网络中的共享文件夹到本地机；mount就是用于挂载文件系统的，SMB做为网络文件系统的一种，也能用mount挂载；smbmount说到底也是用mount的一个变种；
mount 挂载smbfs的用法；
mount -t smbfs -o codepage=cp936,username=用户名,password=密码 , -l //ip地址/共享文件夹名 挂载点
或
mount -t smbfs -o codepage=cp936,username=用户名,password=密码 , -l //计算机名/共享文件夹名 挂载点
或
mount -t smbfs -o codepage=cp936 //ip地址或计算机名/共享文件夹名 挂载点
smbmount的用法：
smbmount -o username=用户名,password=密码 , -l //ip地址或计算机名/共享文件夹名 挂载点
smbmount //ip地址或计算机名/共享文件夹名 挂载点
说明：
如果您的服务器是以share共享的，则无需用户名和密码就能挂载，如果出现要密码的提示，直接回车就行；您也可以用smbmount 来挂载，这样就无需用mount -t smbfs来指定文件系统的类型了；
对于挂载点，我们要自己建立一个文件夹，比如我们可以建在/opt/smbhd，这由您说的算吧；
在mount的命令中，我们发现有这样的一个参数codepage=cp936，这是服务器端文件系统的编码的指定，cp936 就是简体中文，当然您可以用utf8等，尝试一下吧。
如果您挂载了远程的smbfs文件系统出现的是简体中文乱码，就要考虑挂载时要指定编码了；
4、由最简单的一个例子说起，匿名用户可读可写的实现；
第一步： 更改smbconf
我们来实现一个最简单的功能，让所有用户可以读写一个Samba 服务器共享的一个文件夹；我们要改动一下smbconf ；首先您要备份一下smbconf文件；
[root@localhost ~]# cd /etc/samba
[root@localhost samba]# mv smbconf smbconfBAK
然后我们来重新创建一个smbconf文件；
[root@localhost samba]#touch smbconf
然后我们把下面这段写入smbconf中；
[global]
workgroup = LinuxSir
netbios name = LinuxSir05
server string = Linux Samba Server TestServer
security = share
[linuxsir]
path = /opt/linuxsir
writeable = yes
browseable = yes
guest ok = yes
注解：
[global]这段是全局配置，是必段写的。其中有如下的几行；
workgroup 就是Windows中显示的工作组；在这里我设置的是LINUXSIR （用大写）；
netbios name 就是在Windows中显示出来的计算机名；
server string 就是Samba服务器说明，可以自己来定义；这个不是什么重要的；
security 这是验证和登录方式，这里我们用了share ；验证方式有好多种，这是其中一种；另外一种常用的是user的验证方式；如果用share呢，就是不用设置用户和密码了；
[linuxsir] 这个在Windows中显示出来是共享的目录；
path = 可以设置要共享的目录放在哪里；
writeable 是否可写，这里我设置为可写；
browseable 是否可以浏览，可以；可以浏览意味着，我们在工作组下能看到共享文件夹。如果您不想显示出来，那就设置为 browseable=no
guest ok 匿名用户以guest身份是登录；
第二步：建立相应目录并授权；
[root@localhost ~]# mkdir -p /opt/linuxsir
[root@localhost ~]# id nobody
uid=99(nobody) gid=99(nobody) groups=99(nobody)
[root@localhost ~]# chown -R nobody:nobody /opt/linuxsir
注释：关于授权nobody，我们先用id命令查看了nobody用户的信息，发现他的用户组也是nobody，我们要以这个为准。有些系统nobody用户组并非是nobody ；
第三步：启动smbd和nmbd服务器；
[root@localhost ~]# smbd
[root@localhost ~]# nmbd
第四步：查看smbd进程，确认Samba 服务器是否运行起来了；
[root@localhost ~]# pgrep smbd
13564
13568
第五步：访问Samba 服务器的共享；
在Linux 中您可以用下面的命令来访问；
[root@localhost ~]# smbclient -L //LinuxSir05
Password: 注：直接按回车
在Windows中，您可以用下面的办法来访问；
\\LinuxSir05\
5、复杂一点的用户共享模型（适合10人左右的小型企业）；
比如一个公司有五个部门，分别是linuxsir，sir01，sir02,sir03，sir04。我们想为这家公司设计一个比较安全的共享文件模型。每个用户都有自己的网络磁盘，sir01到sir04还有共用的网络硬盘；所有用户（包括匿名用户）有一个共享资料库，此库为了安全是只读的；所有的用户（包括匿名用户）要有一个临时文件终转的文件夹
51 共享权限设计实现的功能；
1)linuxsir部门具有管理所有SMB空间的权限；
2)sir01到sir04拥有自己的空间，并且除了自身及linuxsir有权限以外，对其它用户具有绝对隐私性；
3)linuxsir01到linuxsir04拥有一个共同的读写权限的空间；
4) 所有用户（包括匿名用户）有一个有读权限的空间，用于资料库，所以不要求写入数据。
5)sir01到sir04还有一个共同的空间，对sir01到sir04的用户来说是隐私的，不能让其它用户来访问。
6) 还要有一个空间，让所有用户可以写入，能删除等功能，在权限上无限制 ，用于公司所有用户的临时文档终转等；
52 在服务器上创建相应的目录；
[root@localhost ~]# mkdir -p /opt/linuxsir
[root@localhost ~]# cd /opt/linuxsir
[root@localhost linuxsir]# mkdir sir01 sir02 sir03 sir04 sirshare sir0104rw sirallrw
[root@localhost linuxsir]# ls
sir01 sir0104rw sir02 sir03 sir04 sirallrw sirshare
注：功用如下：
/opt/linuxsir 这是管理员目录，负责管理其下所有目录；
/opt/linuxsir/sir01 是sir01的家目录，用于私用，除了用户本身和linuxsir以外其它用户都是不可读不可写；
/opt/linuxsir/sir02 是sir02的家目录，用于私用，除了用户本身和linuxsir以外其它用户都是不可读不可写；
/opt/linuxsir/sir03 是sir03的家目录，用于私用，除了用户本身和linuxsir以外其它用户都是不可读不可写；
/opt/linuxsir/sir04 是sir04的家目录，用于私用，除了用户本身和linuxsir以外其它用户都是不可读不可写；
/opt/linuxsir/sirshare 所用用户（除了linuxsir有权限写入外）只读目录
/opt/linuxsir/sir0104rw 是用于sir01到sir04用户可读可写共用目录，但匿名用户不能读写；
/opt/linuxsir/sirallrw 用于所有用户（包括匿名用户）的可读可写；
53 添加用户用户组，设置相应目录家目录的权限；
531 添加用户组；
[root@localhost ~]# /usr/sbin/groupadd linuxsir
[root@localhost ~]# /usr/sbin/groupadd sir01
[root@localhost ~]# /usr/sbin/groupadd sir02
[root@localhost ~]# /usr/sbin/groupadd sir03
[root@localhost ~]# /usr/sbin/groupadd sir04
[root@localhost ~]# /usr/sbin/groupadd sir0104
532 添加用户；
[root@cuc03 ~]# adduser -g sir01 -G sir0104 -d /opt/linuxsir/sir01 -s /sbin/nologin sir01
[root@cuc03 ~]# adduser -g sir02 -G sir0104 -d /opt/linuxsir/sir02 -s /sbin/nologin sir02
[root@cuc03 ~]# adduser -g sir03 -G sir0104 -d /opt/linuxsir/sir03 -s /sbin/nologin sir03
[root@cuc03 ~]# adduser -g sir04 -G sir0104 -d /opt/linuxsir/sir04 -s /sbin/nologin sir04
[root@cuc03 ~]# adduser -g linuxsir -d /opt/linuxsir -G linuxsir,sir01,sir02,sir03,sir04,sir0104 -d /opt/linuxsir -s /sbin/nologin linuxsir
为什么这样添加用户？请参考：
《Linux 文件和目录的属性》
《Linux 用户管理工具介绍》
当然我们还得学会查看用户信息的工具用法，比如 用finger和id来查看用户信息，主要是看用户是否添加正确；比如；请参考《Linux 用户（User）查询篇》
[root@localhost ~]# id linuxsir
[root@localhost ~]# finger linuxsir
533 添加samba用户，并设置密码；
我们用的方法是先添加用户，但添加的这些用户都是虚拟用户，因为这些用户是不能通过SHELL登录系统的；另外值得注意的是系统用户密码和Samba用户的密码是不同的。如果您设置了系统用户能登入SHELL，可以设置用户的Samba密码和系统用户通过SHELL登录的密码不同。
我们通过smbpasswd 来添加Samba用户，并设置密码。原理是通过读取/etc/passwd文件中存在的用户名。
[root@localhost sir01]# smbpasswd -a linuxsir
New SMB password: 注：在这里添加Samba用户linuxsir的密码；
Retype new SMB password: 注：再输入一次；
用同样的方法来添加 sir01、sir02、sir03、sir04的密码；
534 配置相关目录的权限和归属；
[root@cuc03 ~]# chmod 755 /opt/linux
[root@cuc03 ~]# chown linuxsir:linuxsir /opt/linuxsir
[root@cuc03 ~]# cd /opt/linuxsir
[root@cuc03 ~]# chmod 2770 sir0＊
[root@cuc03 ~]# chown sir01linuxsir sir01
[root@cuc03 ~]# chown sir02linuxsir sir02
[root@cuc03 ~]# chown sir03linuxsir sir03
[root@cuc03 ~]# chown sir04linuxsir sir04
[root@cuc03 ~]# chown linuxsirsir0104 sir0104rw
[root@cuc03 ~]# chown linuxsirlinuxsir sirshare
[root@cuc03 ~]# chmod 755 sirshare
[root@cuc03 ~]# chown linuxsir:linuxsir sirallrw
[root@cuc03 ~]# chmod 3777 sirallrw
54 修改Samba配置文件 smbconf；
配置文件如下，修改/etc/samba/smbconf后，不要忘记重启smbd和nmbd服务器；
[global]
workgroup = LINUXSIR
netbios name = LinuxSir
server string = Linux Samba Test Server
security = share
[linuxsir]
comment = linuxsiradmin
path = /opt/linuxsir/
create mask = 0664
#create mask是用户创建文件时的权限掩码；对用户来可读可写，对用户组可读可写，对其它用户可读；
directory mask = 0775
#directory mask 是用来设置用户创建目录时的权限掩码，意思是对于用户和用户组可读可写，对其它用户可读可执行;
writeable = yes
valid users = linuxsir
browseable = yes
[sirshare]
path = /opt/linuxsir/sirshare
writeable = yes
browseable = yes
guest ok = yes
[sirallrw]
path = /opt/linuxsir/sirallrw
writeable = yes
browseable = yes
guest ok = yes
[sir0104rw]
comment = sir0104rw
path = /opt/linuxsir/sir0104rw
create mask = 0664
directory mask = 0775
writeable = yes
valid users = linuxsir,@sir0104
#@sir0104是用户组；
browseable = yes
[sir01]
comment = sir01
path = /opt/linuxsir/sir01
create mask = 0664
directory mask = 0775
writeable = yes
valid users = sir01,@linuxsir
browseable = yes
[sir02]
comment = sir02
path = /opt/linuxsir/sir02
create mask = 0664
directory mask = 0775
writeable = yes
valid users = sir02,@linuxsir
browseable = yes
[sir03]
comment = sir03
path = /opt/linuxsir/sir03
create mask = 0664
directory mask = 0775
writeable = yes
valid users = sir03,@linuxsir
browseable = yes
[sir04]
comment = sir04
path = /opt/linuxsir/sir04
create mask = 0664
directory mask = 0775
writeable = yes
valid users = sir04,@linuxsir
browseable = yes
55 关于客户端访问；
551 Windows 访问；
我们打开Windows的IE浏览器，用IP地址的访问方式就能访问了，格式为 \\19216813 类似的。当然也可以把共享文件夹挂在本地使用。比如我们把sir01文件夹挂在本地中，应该以sir01用户来挂载，

日志的概念
为了维护自身系统资源的运行状况，计算机系统一般都会有相应的日志记录系统有关日常事件或者误 *** 作警报的日期及时间戳信息。这些日志信息对计算机犯罪调查人员非常有用。
所谓日志（Log）是指系统所指定对象的某些 *** 作和其 *** 作结果按时间有序的集合。每个日志文件由日志记录组成，每条日志记录描述了一次单独的系统事件。通常情况下，系统日志是用户可以直接阅读的文本文件，其中包含了一个时间戳和一个信息或者子系统所特有的其他信息。日志文件为服务器、工作站、防火墙和应用软件等IT资源相关活动记录必要的、有价值的信息，这对系统监控、查询、报表和安全审计是十分重要的。日志文件中的记录可提供以下用途：监控系统资源；审计用户行为；对可疑行为进行告警；确定入侵行为的范围；为恢复系统提供帮助；生成调查报告；为打击计算机犯罪提供证据来源。
日志的特点
日志记录着系统中特定事件的相关活动信息，从计算机取证角度看，日志主要有以下特点：
（1）不易读懂
虽然大部分系统的日志都以文本的形式记录，但由于各系统日志格式不一致，不熟悉各类日志格式就很难获取有用的信息。同时有相当部分应用系统并不采用文本格式记录着日志信息，必须借助专用的工具分析这些日志，否则很难读懂其中的日志信息。
（2）数据量大
通常对外服务产生的日志文件如Web服务日志、防火墙、入侵检测系统日志和数据库日志以及各类服务器日志等都很大，一个日志文件一天产生的容量少则几十兆、几百兆，多则有几个G，几十个G，这使得获取和分析日志信息变得很困难。
（3）不易获取
由于网络中不同的 *** 作系统、应用软件、网络设备和服务产生不同的日志文件，即使相同的服务如IIS也可采用不同格式的日志文件记录日志信息。目前国际上还没有形成标准的日志格式，各系统开发商和网络设备生产商往往根据各自的需要制定自己的日志格式，使得不同系统的日志格式和存储方式有所差别。如何获取各类不同系统产生的不同日志文件作为打击计算机犯罪者的电子证据变得尤为困难。
（4）不同日志之间存在某种必然的联系
一个系统的日志是对本系统涉及的运行状况的信息按时间顺序作一简单的记录，仅反映本系统的某些特定事件的 *** 作情况，并不完全反映某一用户的整个活动情况。一个用户在网络活动的过程中会在很多的系统日志中留下痕迹，如防火墙IDS日志、 *** 作系统日志等，这些不同的日志之间存在某种必然的联系来反映用户的活动情况。只有将多个系统的日志结合起来分析，才能准确反映用户活动情况。
（5）容易被修改、破坏甚至伪造
产生系统日志的软件通常为应用系统而不是作为 *** 作系统的子系统运行，所产生的日志记录容易遭到恶意的破坏或修改。系统日志通常存储在系统未经保护的目录中，并以文本方式存储，未经加密和校验处理，没有提供防止恶意篡改的有效保护机制。因此，日志文件并不一定是可靠的，入侵者可能会篡改日志文件，从而不能被视为有效的证据。由于日志是直接反映入侵者痕迹的，在计算机取证中扮演着重要的角色，入侵者获取系统权限窃取机密信息或破坏重要数据后往往会修改或删除与其相关的日志信息，甚至根据系统的漏洞伪造日志以迷惑系统管理员和审计。
Unix系统日志
在Unix下，最常用的存放日志文件的目录是：
/usr/adm 早期版本的
Unix /var/adm 较新版本的
Unix /var/log 用于Solaris,Linux,BSD等
/etc Unix system V早期版本
在这些目录下，或其子目录下，你可以找到以下日志文件（也许是其中的一部分）：
lastlog 记录用户最后一次成功登录时间
loginlog 不良的登陆尝试记录
messages 记录输出到系统主控台以及由syslog系统服务程序产生的消息
utmp 记录当前登录的每个用户
utmpx 扩展的utmp
wtmp 记录每一次用户登录和注销的历史信息 wtmpx 扩展的wtmp
voldlog 记录使用外部介质出现的错误
xferkig 记录Ftp的存取情况 sulog 记录su命令的使用情况
acct 记录每个用户使用过的命令
aculog 拨出自动呼叫记录
记录输出到系统主控台以及由syslog系统服务程序产生的消息。syslog采用可配置的、统一的系统登记程序，随时从系统各处接受log请求，然后根据/etc/syslogconf中的预先设定把log信息写入相应文件中、邮寄给特定用户或者直接以消息的方式发往控制台。值得注意的是，为了防止入侵者修改、删除messages里的记录信息，可以采用用打印机记录或跨越网络登记的方式来挫败入侵者的企图。
任何程序都可以通过syslog记录事件。Syslog可以记录系统事件，可以写到一个文件或设备中，或给用户发送一个信息。它能记录本地事件或通过网络记录到另一台主机上的事件。
Syslog依据两个重要的文件：/sbin/syslogd（守护进程）和/etc/syslogconf配置文件。习惯上，多数syslog信息被写到/var/adm或/ar/log目录下的信息文件中（message）。一个典型的syslog记录包括生成程序的名字和一个文本信息，它还包括一个设备和一个行为级别（但不在日志中出现）。
Windows系统日志
以Windows2000/XP为例，日志文件通常有应用程序日志，安全日志、系统日志、DNS服务器日志、FTP日志、>