唐福林 博客雨

　　Logcheck （主页）是用来自动检查系统安全入侵事件和非正常活动记录的工具，它分析各种Linux下的日志文件，比如 /var/log/messages、/var/log/secure、/var/log/maillog 等等，生成一个可能有安全问题的问题报告，并自 动发送电子邮件给管理员。能设置它基于每小时或者每天用crond来自动运行。 Logcheck是一个软件包，用来实现自动检查日志文件，以发现安全入侵和不正常的活动。Logcheck用logtail程序来记录读到的日志文件的位置，下一次运行的时候从记录下的位置开始处理新的信息。所有的源代码都是公开的，实现方法也非常简单。 Logcheck SHELL脚本和logtail.c程序用关键字查找的方法进行日志检测。在这儿提到的关键字就是指在日志文件中出现的关键字，会触发向系统管理员发的报 警信息。Logcheck的配置文件自带了缺省的关键字，适用于大多数的Unix系统。但是最好还是自己检查一下配置文件，看看自带的关键字是否符合自己 的需要。 Logcheck脚本是简单的SHELL程序，logtail.c程序只调用了标准的ANSI C函数。Logcheck要在cron守护进程中配置，至少要每小时运行一次。脚本用简单的grep命令来从日志文件检查不正常的活动，如果发现了就发送 电子邮件给管理员。如果没有发现异常活动，就不会收到电子邮件。 logcheck工具的主页在 http://logcheck.org/，用户可以在上面下载其最新版本： logcheck-1.1.1.tar.gz。下载后用tar xvfz logcheck-1.1.1.tar.gz命令解开到一临时目录下，然后用make linux自动生成相应的文件到/usr/local/etc、/usr/local/bin/等目录下。用户可能需要更改设置，如发送通知到谁的邮件账 号等，默认发送到root。 利用logcheck工具分析所有logfile，避免每天经常手动地检查它们，节省了时间，提高了效率。

在所有说明之前，先给出一道题目： int a=256; printf(“%d\n”, sizeof(++a)); printf(“%d\n”, a); 那么到底打印的是多少呢？ 应该是4和256，第一个答案大家应该已经没有问题了，但是为什么在++a以后，a的数值还是没有发生变化呢？因为sizeof（）是一个运算符，在其中的所有的运算都是无效的，所以++a根本就没有运行。 上面的一个例子提醒我们，虽然sizeof看这简单，但是其中还是有很多的问题值得讨论的： 一、sizeof的概念 sizeof是C语言的一种单目操作符，如C语言的其他操作符++、–等。它并不是函数。sizeof操作符以字节形式给出了其操作数的存储大小。操作数可以是一个表达式或括在括号内的类型名。操作数的存储大小由操作数的类型决定。 二、sizeof的使用方法　 1、用于数据类型　 sizeof使用形式：sizeof（type） 数据类型必须用括号括住。如sizeof（int）。 2、用于变量　 sizeof使用形式：sizeof（var_name）或sizeof　var_name 变量名可以不用括号括住。如sizeof　(var_name)，sizeof　var_name等都是正确形式。带括号的用法更普遍，大多数程序员采用这种形式。 注意：sizeof操作符不能用于函数类型，不完全类型或位字段。不完全类型指具有未知存储大小的数据类型，如未知存储大小的数组类型、未知内容的结构或联合类型、void类型等。 如sizeof(max)若此时变量max定义为int　max(),sizeof(char_v)　若此时char_v定义为char　char_v　[MAX]且MAX未知，sizeof(void)都不是正确形式。 三、sizeof的结果　 sizeof操作符的结果类型是size_t，它在头文件 <stddef.h> 中typedef为unsigned　int类型。该类型保证能容纳实现所建立的最大对象的字节大小。 1、若操作数具有类型char、unsigned　char或signed　char，其结果等于1。 ANSI　C正式规定字符类型为1字节。 2、int、unsigned　int　、short　int、unsigned　short　、long　int　、unsigned　long　、 float、double、long　double类型的sizeof　在ANSI　C中没有具体规定，大小依赖于实现，一般可能分别为2、2、2、 2、 4、4、4、8、10。 3、当操作数是指针时，sizeof依赖于编译器。例如Microsoft　C/C++7.0中，near类指针字节数为2，far、huge类指针字节数为4。一般Unix的指针字节数为4。 4、当操作数具有数组类型时，其结果是数组的总字节数。 5、联合类型操作数的sizeof是其最大字节成员的字节数。结构类型操作数的sizeof是这种类型对象的总字节数，包括任何垫补在内。 让我们看如下结构： struct　{char　b;　double　x;}　a; 在某些机器上sizeof（a）=12，而一般sizeof（char）+　sizeof（double）=9。 这是因为编译器在考虑对齐问题时，在结构中插入空位以控制各成员对象的地址对齐。如double类型的结构成员x要放在被4整除的地址。 6、如果操作数是函数中的数组形参或函数类型的形参，sizeof给出其指针的大小。 四、sizeof与其他操作符的关系　 sizeof的优先级为2级，比/、%等3级运算符优先级高。它可以与其他操作符一起组成表达式。如i*sizeof（int）；其中i为int类型变量。 五、sizeof的主要用途　 1、sizeof操作符的一个主要用途是与存储分配和I/O系统那样的例程进行通信。例如： void　*malloc（size_t　size）, size_t　fread(void　*　ptr,size_t　size,size_t　nmemb,FILE　*　stream)。 2、sizeof的另一个的主要用途是计算数组中元素的个数。例如： void　*　memset（void　*　s,int　c,sizeof(s)）。 六、建议　 由于操作数的字节数在实现时可能出现变化，建议在涉及到操作数字节大小时用sizeof来代替常量计算。

        ps能够提供不少进程信息，比如进程号、进程运行状态、进程名称、所占CPU时间、所占内存等。除此以外，还有一些不很常用的进程信息，可以用来解决一些 可能很常见的问题 (比如内存泄漏，进程运行异常等)。 所打开的文件 获取方法1： # ls -l /proc/$PID/fd/ 获取方法2： # lsof -p $PID 内存分配表 获取方法： # lcat /proc/$PID/maps 堆栈 获取方法： # pstack $PID 所发出的系统调用 获取方法： # strace -p $PID 所发出的库函数调用 获取方法： # ltrace -p $PID 进程继承关系 获取方法： ps -eo user,pid,ppid,%cpu,%mem,vsz,rss,tty,stat,start,time,wchan,command –forest 运行时dumpcore 获取方法： # gcore $PID