建议用户花些时间去学习netstat吧。如果用户学会了如何使用，它将为用户提供丰富的网络信息，并且让用户清楚地看见是谁在什么时间连接到了用户的系统。

另一个有用的实用程序是lsof (打开的文件列表) 工具。刚开始它只是一个用来显示有哪些进程打开了文件的简单工具，但是现在已经进化到可以显示端口、通道和其他通信。一旦用户安装了lsof工具，尝试一下。只运行lsof来查看系统上打开的所有文件和端口。用户可以感受一下lsof工具能做什么，同时它也是一个快速审核系统的绝佳方式。lsof | grep TCP命令将显示系统上所有打开的TCP协议的连接。这个工具功能非常强大，当用户需要卸载文件系统，而文件系统报告忙碌时也是很有帮助的，lsof可以快速的显示那个进程正在使用该文件系统。

9、使用一个集中的日志服务器

如果用户负责维护多个服务器，那么检查每台服务器的日志将非常繁琐。为此，建立一台专用服务器来搜集其他所有服务器的日志消息。通过整合用户的日志，用户只需要扫描一台服务器，将大大节省用户的时间。在用户的服务器被攻破后，这也是一个好的归档文件;用户仍然可以在别的地方查阅这些日志文件。

创建一个核心日志服务器，使用高速CPU和大量的磁盘可用空间。关闭除syslogd之外的其他所有端口和服务，这个系统受到损害的几率降到最低，可能除了使用TCP-wrapped SSH守护进程来限制用户的工作站进行远程访问。然后验证syslogd可以从远程系统接收消息。这不同于从消息提供服务器到消息提供服务器。有些服务器默认接收消息，用户可能需要关掉它;有些默认不接收消息，用户需要打开它。

创建一个系统来归档旧日志并形成文件。如果用户的日志曾经被用作为证据，用户需要能够证明它们没有被更改过，用户需要出示他们是如何创建的。建议用户压缩一个星期以上的所有带时间戳的日志并且通过只读的媒体，例如CD光盘来复制他们。

一旦用户有了一个接收日志的服务器，用户需要启动其他服务器指向它。编辑/etc/syslog.conf并且确定用户想复制的信息。最起码，用户应该复制最高的紧急程度状态，紧急状态，重要信息，临界状态和警告信息和更多用户认为有用的信息。当用户知道什么是用户想要复制的信息，添加一个或多个像下面这样的/etc/syslog.conf命令行：

*.emerg;*.alert;*.crit;*.err;*.warning;*.notice @ip.of.log.srvr

在这个例子中，我们将所有最高的紧急程度状态，紧急状态，重要信息，临界状态，警告和出现不寻常的事情日志信息发送到远程服务器。值得注意的是：用户可以让它们在同一时间将日志归档到远程服务器。用户也可以复制到多个日志服务器。Syslog.conf扫描的是所有匹配的条目—syslogd守护进程不会在找到第一个后停止。

(责任编辑：)