此事件十分重要,但路由器不能記錄,例如:有些
xec優先費制的改變:.密碼的改變:
.通過snmp對配置進行改變; .在nvram中儲存新的配置資訊。
日誌訊息的格式通常包括三部分:生成訊息的時間,
各部分之間用冒號隔開,例如:息正文。
apr 220:27:01 172.25.2.94 %sys s5-confic
日誌訊息可用以下五種不同的方法進行管理,可以將訊息發到5個目標或這些目標的任意組合。有價值的日誌形式是持久的,並且可以長時間保留。
(1)控制台日誌
上面的例子將控制台級別設為5 (%sys 5- -confic 1),即通知級別。該級別代表重要的訊息會出現在控制台上,但訪問列表訊息不會出現。使用logging comsole info可以顯示所有除錯的訊息(其中包括訪問列表訊息) ;使用logging console debug可以在控制台上顯示每條訊息。
要注意的是,使用這些命令會對路由器產生額外的開銷,所以要慎重使用這些命令。
總之,只有當控制台正在使用,或者其輸出正被顯示或捕獲時,控制台日誌的級別才可設定為顯示清息。使用命令hging comsdle rial可以將控制台日誌級別設定為2。
下面舉例將控制台日誌設定為5:
routler ( config ) #logging console
notifcationsrouter ( config ) #logging onrouter ( config ) #exit
router#
fom comeole ly comsdle*aug 28 22 10: 18 s03: gsys-5 confic i: cnigurnf
二)子任務2 根據網路系統
日誌跟味與分析網路系統的效能變化
1.工作任務
根供網路系統日山銀蹤與分析網路系統的效能變化。2.ftp 1志分析
, wwww 1心自取認情下,自天生皮個日檔案,包含了該目的。產生的日誌,記事本可直設開啟,普通的有人侵行為的日誌取是這樣的。記錄,檔名通常為以(年份) (份) (日期)。例如040419,就是220年4月19
wsnwaw mic mol hienet tfomnin sorvicen 5.0
(微軟1550wvension;1.0 (版本1.0)
/datn: 200404190315 (服務啟動時間日期)#fields: time cip camethod courintem wetatis
0315 1700.0「1」 user uhinaen 33 (ip位址為170使用者名為ninio試圖登入
0318127.0.0.1 「i」 pass「530(登入失敗)
032;04 127.0.0.10 「1」 user n 33 (p位址為170.0.1使用者名為m的使用者試圖登入)032:06
127.0.0.1 「1」 pass一530(登入失敗)
032:09 127.00.1 "1」user 0y331(ip位址為1270.0.1使用者名為eyz的使用者試圖春錄)0322 127.0.0.1「i」 pass一530( 登入失敗)
0322 127.0.0.1 「1」 user administraton 331
(ip位址為127.0.0.1使用者名為adinsitiat試圖登入)
0324 127.0.0.1「1」pass - 230( 登入成功)0321 127.0.0.1 「i」 mkdnt550 (新建目錄失敗)0325
127.0.0.1「i」 quit- 550 (退出fip程式)
從日誌裡就能看出ip位址為127.0.0.0
的使用者直試圖登入系統,換了四次使用者名稱機密碼才成功,管理員立即就可以得知這個ip至少有人侵企圖!而他的人侵時間,中p位址以及探測的使用者名稱都很清楚地記錄在日誌上。如上例人侵者最終是用hisiain進人的,那麼就要考慮此使用者名稱是不是密碼失竊,還是被別人利用。接下來就嬰想想系統出什麼問題了。
3.www日誌分析
足夠的細心,否則, 很容易遺漏那w3svc1目錄下,預設是每天乙個日和其他日誌不同,它的分析受組致得多,www服務同ftp服務一樣,種很簡單的日誌,產生的日意也是在檔案。這裡需需要管理員有豐富的人侵、防護知識、要特別說明一下,因為web的日誌並且要有
由於我們不可能乙個個分析,所以這裡舉個簡單例子:而通常這樣的目志義是非常關鍵的。
#sofware: microsoft』 hteme liomation
servies 5.0#version: 1.0
#date: 2004041903: 091
( useragent )
2004010 03: 091 121681.162 92.16.1.7 80 cet
istat p 200 mil( compatiblel; +msie+5.0; +windows+98); +digext)
20040419 03: 094 192. 168.1.26 192.168.13.7
80 get pgero.gef 200 milal4.+( compatiblel; +msie+5.0; +windows+98; +digext )
通過分析第六行,可以看出2023年5月19日,ip位址為192.168.1.26的使用者通過訪問ip位址為192.168.1.37機器的80埠,檢視了乙個頁面isatasp,這位使用者的瀏覽器為compatiblel; +msie+5.0);
+windows+98+digext. 有經驗的管理員就可通過安全日誌、ftp日誌和www日誌來確定人侵者的ip位址以及人侵時間。
對現在非常常見的sol注人式攻擊,通過對put. get 的檢查,也可以大概判斷是哪個頁面出了問題,從而修補。
PowerShell 抓取網路日誌
豆子今天想看看powershell是否有像winsock之類的方式抓包,不過很遺憾,他有乙個netevenpacketcapture的模組,但是他不像wireshark那樣可以直接抓取tcp ip包,他獲取的是windows的網路日誌。優點是我可以直接用get winevent來分析內容了,缺點是我...
flume 網路日誌收集
channels 記憶體 sink 本地 a1.sources s1 a1.channels c1 a1.sinks k1 tcp協議 a1.sources.s1.type syslogtcp a1.sources.s1.port 5140 a1.sources.s1.host wangfutai ...
PowerShell 抓取網路日誌
豆子今天想看看powershell是否有像winsock之類的方式抓包,不過很遺憾,他有乙個netevenpacketcapture的模組,但是他不像wireshark那樣可以直接抓取tcp ip包,他獲取的是windows的網路日誌。優點是我可以直接用get winevent來分析內容了,缺點是我...