利用日誌使管理Linux更輕鬆

2021-09-05 07:52:06 字數 4695 閱讀 9403

利用日誌使管理linux更輕鬆

作業系統的日誌主要具有審計與監測的功能,通過對日誌資訊的分析,可以檢查錯誤發生的原因,監測追蹤***者及受到***時留下的痕跡,甚至還能實時的進行系統狀態的監控。有效利用日誌資訊並對其進行分析與實時的監控管理,對於系統的安全性具有極為重要的作用。

本文就是和大家**如何利用linux日誌系統來管理系統更輕鬆。對於日誌資訊的管理通常採用兩種方法,一種方法是不同伺服器的日誌資訊都存放在各自系統內,系統管理員對各伺服器進行分散管理。另一種方法則是使用日誌主機系統,這是乙個從其他主機收集日誌,並將它們存放在同乙個地方的系統,很容易使來自多個主機的日誌條目關聯起來,對其進行統一管理、分析,甚至配合自動化工具進行實時的監控,有效提高管理的效率。

第一種方法往往是大多數系統管理員的常用的方法,這種傳統的管理方法在伺服器數量較少時還能勉強應付,但在處理多主機狀況時卻並非一種有效的方法。本文主要講述二種日誌管理方法,探尋一種提高系統管理效率的途徑。

一、日誌主機系統的部署

日誌主機系統包括日誌主機及各主機系統兩個部分,其中日誌主機相當於伺服器端,而各主機系統相當於客戶端,將日誌資訊實時的傳送到日誌主機上來。

1. 日誌主機的部署

日誌主機採用一台rhel 5的伺服器(假設其主機名為loghost),日誌收集軟體採用linux平台上的syslog,syslog一般都隨linux系統安裝時已經安裝,對於我們部署整個系統提供了極大的便利性,因此在此不對其安裝步驟進行闡述,僅講述其配置方法。

syslog既可作為客戶端,也可作為伺服器端,並且支援遠端的日誌收集。其配置檔案為/etc/sysconfig/syslog,要配置其作為伺服器端,需對此配置檔案相應部分改為如下所示:

syslogd_options=

「-r-m 0

」 「-r」選項表示使syslog接收客戶端的遠端日誌資訊。

接下來重啟syslog伺服器端使配置生效:

#service syslogd restart

由於syslog採用514埠監聽來自各客戶端的日誌資訊,因此需要在日誌主機的防火牆上開放514埠,以iptables為例,對特定網段開放514埠: /sbin/iptables -a input -i eth0 -p tcp -s 192.168.0.0/16 -dport 514 -syn -j accept

2.客戶端的部署

2.1 linux平台下客戶端的部署

在linux平台下依然選擇syslog作為客戶端進行部署,此時此配置檔案為/etc/syslog.conf,其預設配置為(僅以/var/log/message日誌為例):

*.info;mail.none;authpriv.none;cron.none/var/log/messages

/var/log/message

即sysolg

存放系統日誌的絕對路徑

,將此值替換為日誌主機名即可

。例子如下

: *.info;mail.none;authpriv.none;cron.none@loghost

根據上述配置,當syslog重啟使用配置生效後,客戶端伺服器的日誌資訊將會實時的傳送到日誌主機的/var/log/message檔案裡,對各伺服器的日誌資訊進行統一的管理。

使用如下命令重啟syslog服務使配置生效: 

#service syslogd restart

依上述方法將其他系統日誌資訊(如/var/log/secure)匯入到日誌主機上。

筆者建議,採用新增配置而非修改的方法,同時在本地及日誌主機上儲存系統日誌。

2.2 windows平台下客戶端的部署

解開後得到兩個檔案:evtsys.ext和evtsys.dll。

將這兩個檔案放到c:\windows\system32目錄下,在命令列狀態下執行如下命令進行安裝:%systemroot%\system32\evtsys 

–i-h loghost

當安裝成功後,可檢視服務列表看到相應的資訊,如圖1所示。

解除安裝evtsys的命令為:

%systemroot%\system32\evtsys-u

圖1 更改日誌主機名的命令為:

net stop evtsys//停止 evtsys

evtsys-u//解除安裝 evtsys 

evtsys-l-h newloghost //指定新的日誌主機名

net start evtsys//啟動 evtsys

二、日誌主機的自動日誌分析與監控

當整個系統部署好後,可以從日誌主機裡驗證各伺服器是否將日誌資訊傳送到了日誌主機上。以/var/log/message為例,開啟此檔案,當看到具有不同主機名字的日誌資訊標誌著日誌主機已經正常工作,節選部分日誌如下:

jan 9 08:39:38 dog crond(pam_unix)[4528]:ses-sion opened for user root by (uid=0)

jan 9 08:39:36 dog crond(pam_unix)[4528]:session closed for user root 

jan 9 08:39:40 panda crond(pam_unix)[20296]:ses-sion opened for user root by(uid=0)

jan 9 08:39:40 panda crond(pam_unix)[20296]:ses-sion closed for user root

jan 9 08:41:15orangesshd(pam_unix)[28389]:ses-sion opened for user tom by(uid=2011)

jan 9 08:41:28 orange sshd(pam_unix)[28389]:ses-sion opened for user tom by (uid=2011) 

jan 9 08:41:28 orange 1

月9 08:41:28 su` (pam_unix)[28425]:session opened for user root by tom (uid=2011)

對於如此龐大的日誌資訊,大部分並沒多大的用處,但在跟蹤某一具體問題或者安全漏洞時卻可能很有用。那麼我們如何對其進行有效地分析與監測,發揮其真正作用呢?在此推薦兩款比較常用的日誌分析與監控軟體,對這些日誌資訊進行自動地分析與監控。

1. 利用logwatch 進行日誌監控

在linux系統中,已經預設安裝了logwatch,配合sendmail的郵件傳送功能,向系統管理員傳送前一天的日誌分析結果郵件。其配置檔案為/etc/log.d/logwatch.conf,下面是省略注釋後的配置檔案,一般只需將mailto部分改為系統管理員郵箱位址即可,更多的配置細節可參考其官方

logdir =/var/log

[email protected]

pnnt=no

range=yesterday

detail=high

service=all 

2.利用swatch進行日誌的實時監控

swatch 

要安裝swatch,

需要先安裝兩個

perl

模組包:date-calc-5.4.tar.gz

和timedate-1.16.tar.gz 

接著安裝

swatch,

安裝步驟如下

: #tar-zxvf swatch-3.2.1.tar.gz

#cd swatch-3.2.1

#perl makefile.pl

#make

#make test 

#make install

配置swatch

使其作,

需建立配置檔案

~/.swatchrc,

,可使用

「man swatch

」命令檢視具體配置內容及含義。下面是乙個簡單的範例,僅供參考:

watch for = /failed fuseraddllnvalid/i #採用正規表示式的形式指定監測的內容#

echo #使得匹配的行通過stdout顯示#

mail address=admin\@local.com,subject=monitor result #向系統管理員傳送監測結果郵件,並設定相應的主題#

mall addresses=admin\@local.com,subject=monitor result,when=2-5:8-17 #向系統管理員傳送監測結果郵件,並設定相應的主題及監控的時間#

使用「swatch--help」檢視swatch執行時的具體選項。

下面是乙個執行命令範例,僅供參考:

#swatch-config-file=~/.swatchrc-examine=/var/log/messages

當出現監控到的資訊時,swatch即會實時地傳送郵件給系統管理員,及時杜絕***者的各種***嘗試,保護系統的安全。

三、總結

日誌主機系統的建立,不但能夠有效提高日誌管理、分析及監測的效率,同時它也對於日誌資訊的安全保護起到了極為重要的作用,它將各伺服器的日誌資訊在日誌主機上進行備份,同時也能夠有效防止***痕跡,為系統管理工作提供了極大的便利性,是有效保障系統安全的重要途徑之一。

利用日誌使管理Linux更輕鬆

利用日誌使管理linux更輕鬆 作業系統的日誌主要具有審計與監測的功能,通過對日誌資訊的分析,可以檢查錯誤發生的原因,監測追蹤入侵者及受到攻擊時留下的痕跡,甚至還能實時的進行系統狀態的監控。有效利用日誌資訊並對其進行分析與實時的監控管理,對於系統的安全性具有極為重要的作用。本文就是和大家 如何利用l...

使用logback輕鬆管理日誌

最近才開始在專案中使用logback,有一種相見恨晚的感覺,因為它很輕易的滿足了我的幾個需求 1.配置簡單,易於上手 2.乙個日誌檔案中只能某乙個級別的日誌 3.乙個類中可以指定多個不同的日誌,並且生成的每個日誌檔案中只包含其本身的內容 4.可以關閉或者開啟某幾個包的日誌,並且可以設定不同的包使用不...

使用logback輕鬆管理日誌

最近才開始在專案中使用logback,有一種相見恨晚的感覺,因為它很輕易的滿足了我的幾個需求 1.配置簡單,易於上手 2.乙個日誌檔案中只能某乙個級別的日誌 3.乙個類中可以指定多個不同的日誌,並且生成的每個日誌檔案中只包含其本身的內容 4.可以關閉或者開啟某幾個包的日誌,並且可以設定不同的包使用不...