資源描述:
《Linux日志管理篇》由會員上傳分享����,免費在線閱讀�����,更多相關(guān)內(nèi)容在工程資料-天天文庫。
1����、Linux日志管理篇操作系統(tǒng)的日志主要具有審計與監(jiān)測的功能,通過對日志信息的分析����,可以檢查錯謀發(fā)生的原因,監(jiān)測追蹤入侵者及受到攻擊時留下的痕跡��,其至還能實時的進行系統(tǒng)狀態(tài)的監(jiān)控���。有效利用日志信息并對其進行分析與實吋的監(jiān)控管理,對于系統(tǒng)的安全性具有極為重要的作用�。對于日志信息的管理通常采用兩種方法,-種方法是不同服務(wù)器的日志信息都存放在各自系統(tǒng)內(nèi)�����,系統(tǒng)管理員對各服務(wù)器進行分散管理���。另一種方法則是使用日志主機系統(tǒng)����,這是一個從其他主機收集日志,并將它們存放在同一個地方的系統(tǒng)��,很容易使來自多個主機的日志條目關(guān)聯(lián)起來��,對其進行統(tǒng)一管理��、分析,其至配合自動化工具進行實時的監(jiān)控�����,有效提高管理的效率。
2���、第一種方法往往是大多數(shù)系統(tǒng)管理員的常用的方法,這種傳統(tǒng)的管理方法在服務(wù)器數(shù)量較少時還能勉強應(yīng)付��,但在處理多主機狀況時卻并非一種有效的方法�����。本文主要講述二種口志管理方法,探尋一種提高系統(tǒng)管理效率的途徑���。一、日志主機系統(tǒng)的部署日志主機系統(tǒng)包括日志主機及各主機系統(tǒng)兩個部分�,其中日志主機相當(dāng)丁?服務(wù)器端���,而各主機系統(tǒng)相當(dāng)于客戶端�,將H志信息實時的傳送到H志主機上來�。l.Linux系統(tǒng)中系統(tǒng)日志服務(wù)器的安裝對管理員來說,日志非常有用�,但大量的日志又很麻煩��。當(dāng)一些事件運行錯誤時�����,日志可以對故障排除起到至關(guān)重要的作川,特別是在安全性相關(guān)問題上���。但是如果攻擊者危害到你的主機����,口志將會告訴你����,對于主機來
3�����、說這很有川�����;你需要給數(shù)據(jù)屮心發(fā)信息�����。保護口志非常車要��,一個中央日志服務(wù)器會更容易管理�����、分析和查找它們����。針對這一點,我將向你展示如何把多個主機的系統(tǒng)口志集屮收集到一個主機上來管理�,即Linux上的屮央系統(tǒng)口志服務(wù)器���。首先��,所有集中的系統(tǒng)日志服務(wù)器都應(yīng)該建成一個女全和硬化的主機���。在主機上沒有一點關(guān)于保護和集屮化你們口志方面�����。其次�����,你怎樣能從你的主機上獲得口志呢�����?讓我們開始安裝屮央系統(tǒng)口志服務(wù)器。我將舉例說明如果使川rSyslog,實際的標(biāo)準(zhǔn)Linux系統(tǒng)日志��。Ubuntu和紅帽常使用它,并且通過文件/etc/rsyslog.conf進行管理����。文件屮包含許多指定的特殊系統(tǒng)口志:有的是控制臺方
4���、面的����,有的是文件方面或其它主機的�。首先�����,我們需要載入合適的TCP和UDP插件以支持接收系統(tǒng)口志。把下面的代碼添加到rsyslog.conf的頭部:$modloadimtcpSmodloadimudp$1nputTCPServerRun10514$UDPServerRun514載入的這兩個模塊能支持監(jiān)聽TCP和UDP的端口���,并且指定哪個端口來接受事件��,在這種情況下���,使用TCP的10514端口和UDP的514端口�。你需要確認(rèn)一下木地防火墻(在你的主機和屮央系統(tǒng)口志服務(wù)器之間的防火墻)下面我們需要指定一些規(guī)則來告訴rSyslog在哪放輸入事件�����。如果你不添加任何規(guī)則,輸入事件將按照木地的規(guī)則進
5�、行處理�,并且與木地主機的爭件交織在一起���。我們需要在上而添加節(jié)之后和木地處理系統(tǒng)口志之前來正確的指定這個規(guī)則�,例如:if$fromhost~ipisequal'192.168.0.2'then/var/log/192.168.0.2.log&?這里我們說的每一個來自于192.168.0.2的系統(tǒng)口志都應(yīng)該保存在/var/log/192.168.0.2.log文件中�。&~這個符號是非常重要的,因為它告訴rSyslog將停止處理消息���。如果你把它忘寫了,消息將越過下一個規(guī)則����,并H繼續(xù)處理�。在這一規(guī)則屮還有其他的變量。例如:if$fromhost~ipstartswith'192.168.'th
6���、en/var/log/192.168.log&?這里我們川192.168.*替代了以這個為開始的所有IP地址,寫入到/var/log/192.168.log文件中。你還可以看到一些其它的過濾��。你將需耍重啟這個rsyslog服務(wù)來激活我們所做的新的配豐:$sudoservicersyslogrestart現(xiàn)在����,對于發(fā)送方的主機�,我們還需要對文件rsyslog.conf進行一?些更改��,在文件的頭部,添加下而這行:*.*@@192.168.0.1:10514這是發(fā)送的所有事件�,來自于所有源代碼和所有重要級別(用*.*),通過TCP協(xié)議傳給TP地址為192.168.0.1的105M端口。你可是
7���、用你所在環(huán)境的地址來替換這個TP地址�。要啟用此配置,你將需要重啟主機上的rSyslogo你可以通過SSL/TLS更進一步地發(fā)送你的系統(tǒng)日志���。如果你在互聯(lián)網(wǎng)上或其它網(wǎng)絡(luò)間傳輸系統(tǒng)日志����,這也沒什么壞處���,你可能會發(fā)現(xiàn)這個的簡單說明。現(xiàn)在�,如果給你的配置管理系統(tǒng)(如果不使用這個,你可以試一試Puppet或Cfengine工具)添加這個配置�,然后����,您可以川適當(dāng)?shù)南到y(tǒng)口志來有效地配置每臺主機�,以確保你的日志將被發(fā)送到中央系統(tǒng)日志服務(wù)器。2?日志主機的部署H
