我用的linux版本是RHEL5,今天早上发现/var/log/messages文件下日志就剩下5行了，我怀疑有人删掉了，不知道是否有人以root账号进入我的系统了，我想把root操作记录下来要如何做，下面是/var/log/messages里边的内容
Feb 15 04:02:04 linux7E syslogd 1.4.1: restart.
Feb 15 12:08:03 linux7E xinetd[2104]: START: telnet pid=5326 from=201.240.39.88
Feb 15 12:28:10 linux7E telnetd[5326]: ttloop: read: Connection timed out 
Feb 15 12:28:10 linux7E xinetd[2104]: EXIT: telnet status=1 pid=5326 duration=1207(sec)

好像还有人telnet进入，这个201.240.39.88 IP是秘鲁的IP，可能有人用代理服务器

有些系统可以打开审计功能
你也可以用history看命令的历史
还可以找一些记录击键的工具，甚至你都可以自己写一个

标准的工具和审计很有可能会被黑客关闭，记录的数据也有可能会被删除
所以你自己写一个或者用一些怪异的工具来记录也许效果更好一点

另外，更关键的事情还是及时打补丁，关闭不必要的功能，关闭不必要的端口，安装防火墙等提高安全性

感觉还是需要自己写一个定时的对/var/log/messages的备份
否则，有些日志文件黑客能进入就能把日志删除。

注册一个自己的记录区吧，并进行加密控制。

记录一下