在 linux 系統中,系統的日誌資訊通常儲存在 /var/log 目錄
下,部分應用程式也會把相關日誌記錄到這個目錄中。系統日誌主要分為 3 類,使用者登入
日誌、特殊事件日誌和程序日誌。
使用者登入日誌主要是/var/log/wtmp和/var/run/utmp,用來儲存使用者登入相關的信
息。使用者登入日誌本身為二進位制檔案,我們無法直接通過文字方式檢視,但是可以配合
who/users/ac/last/lastlog這樣的命令來獲取。
特殊事件日誌主要包括/var/log/secure和/var/log/message。其
中,/var/log/secure主要記錄認證和授權相關的記錄,如果有人試圖爆破 ssh,我們
就可以從這個日誌中觀察出來。/var/log/message由 syslogd 來維護,syslogd 這個守
1 su -s /bin/redis-server nobody
護程序提供了乙個記錄特殊事件和訊息的標準機制,其他應用可以通過這個守護程序來報告
特殊的事件。
程序日誌:當通過 accton 來進行系統程序管理時,會生成記錄使用者執行命令的 pacct 文
件。預設情況下,linux 會通過 logrotate 對日誌執行相應的保留策略(比如日誌切割和舊日誌
刪除等)。通過配置/etc/logrotate.conf可以對不同日誌的保留策略進行修改。
那如何對日誌進行監控呢?這裡,我向你推薦 2 種常見的日誌分析工具 elk 和 zabbix,你
可以利用這些工具來監控 linux 的安全日誌。也就是說,我們可以通過在這些分析平台配
置恰當的規則(如 ssh 登入嘗試失敗 3 次以上),來及時發現黑客的部分入侵嘗試,迅速
產生報警。然後,我們就可以針對具體的問題,進行人工複查了。
Linux 日誌審計
工作中我們常常遇到,有的員工不安於被分配的許可權,老是想sudo echo ziji usr bin visudo nopasswd all來進行提權,造成誤刪了資料庫某條重要的資料,或者執行了一條命令對線上生產造成了嚴重的影響,部門老大又苦於找不到造成這種現象的操作者,cto對你們部門直接扣除績效...
Linux簡單的日誌審計
生產環境日誌審計解決方案 所謂的日誌審計,就是記錄所有系統及相關的使用者行為,並且可以自動分析 處理 展示 包括文字或者錄影 1 通過環境變數以及rsyslog服務進行全部日誌審計 資訊太大,不推薦 2 sudo配置rsyslog服務,進行日誌審計 資訊較少,效果不錯 3 在bash直譯器中嵌入乙個...
mysql的審計日誌 MySQL審計日誌處理指令碼
1 mysql配置檔案 cat mysql.cfg 3306 ip x.user root pass xx port 3306 auditlog home mysql data mysql audit.json socket tmp mysql.sock 2 函式檔案,主要是日誌函式 mysql t...