Linuxシステムはサーバーで最もよく見られるオペレーティングシステムであり、もちろん非常に多くのセキュリティイベントに直面している。Windowsオペレーティングシステムに比べて、Linuxは明確なアクセス権制御と全面的な管理ツールを採用し、非常に高いセキュリティと安定性を持っている。Linuxシステムが侵入した後、攻撃者は跡を隠すために、Webのaccessとerrorログ、lastログ、messageログ、secureログなど、システム内の各種ログをクリアすることが多く、後期の応急応答と証拠分析に非常に大きな抵抗をもたらした。したがって、消去されたログのリカバリは非常に重要な検証と分析の一環であり、以下はlsofコマンドを使用してログファイルをリカバリする例であり、一般的なログリカバリ作業に適している。

サーバを閉じることはできません。apacheのアクセスログ/var/log/http/access_を復元するなど、関連するサービスまたはプロセスを閉じることはできません。logは、サーバシステムを閉じたり再起動したり、httpdサービスを再起動したりすることはできません。

httpd 1392 root 7w REG 253,0 0 263802 /var/log/httpd/access_log

httpd 7333 apache 7w REG 253,0 0 263802 /var/log/httpd/access_log