日誌為什麼重要?
1.用於記錄系統、程式執行中發生的各種事件
2.通過閱讀日誌,有助於診斷和解決系統故障
3.是審計的基礎
日誌檔案的分類
1.核心及系統日誌:有系統服務rsyslogd統一進行管理,日誌格式基本相似
3.程式日誌:由各種應用程式獨立管理的日誌檔案,記錄格式不統一
在linux系統中,有三個主要的日誌子系統:
2.程序統計:由系統核心執行,當乙個程序終止時,為每個程序往程序統計檔案中寫乙個記錄。程序統計的目的是為系統中的基本服務命令使用統計。
3.錯誤日誌:由rsyslogd守護程式執行,各種系統守護程序、使用者程式和核心通過rsyslogd守護程式向檔案/var/log/messages報告值得注意的事件。另外有許多linux程式建立日誌。像http和ftp這樣提供網路服務的伺服器也保持詳細的日誌。
日誌儲存位置
1.預設位置:/var/log 目錄下
主要日誌檔案介紹
1.核心及公共訊息日誌: /var/log/messages
2.計畫任務日誌:/var/log/cron
3.系統引導日誌:/var/log/dmesg
4.郵件系統日誌:/var/log/maillog
5.使用者登入日誌:/var/log/lastlog(最近的使用者登入事件)
/var/log/secure(使用者驗證相關的安全性事件)
/var/log/wtmp(當前登入使用者詳細資訊)
/var/run/utmp(使用者登入、登出及系統開、關機等事件)
6.其他日誌
使用者日誌
1.有關當前登入使用者的資訊記錄在檔案utmp中;utmp檔案被各種命令檔案使用,包括who、w、users和finger。
2.登入和退出記錄在檔案wtmp中;資料交換、關機以及重啟的資訊也都記錄在wtmp檔案中;wtmp檔案被命令last和ac使用。
3.所有的記錄都包含時間戳。時間戳對於日誌來說非常重要,因為很多攻擊行為分析都是與時間有極大關係的。
這兩個檔案是二進位制檔案,不能用諸如tail、cat之類的命令來進行訪問、操作。
核心及系統日誌
1.由系統服務rsyslogd統一管理
軟體包:rsyslogd-7.4.7-7.el7_0.x86_64
主要程式:/sbin/rsyslogd
配置檔案:/etc/rsyslog.conf
核心及系統日誌
1.日誌訊息的級別
0 emerg(緊急):導致主機系統不可用的情況
1 alert(警告):必須馬上採取措施解決的問題
2 crit(嚴重):比較嚴重的情況
3 err(錯誤):執行出現錯誤
5 notice(注意):不會影響系統但值得注意
6 info(資訊):一般資訊
7 debug(除錯):程式或系統除錯資訊等
2.日誌記錄的一般格式
時間戳、主機名、子系統、訊息級別、訊息字段內容
程式日誌
web服務:/var/log/httpd/
access log、error log
**服務:/var/log/squid/
access.log、cache.log、squid.out、store.log
ftp服務:/var/log/xferlog
2.分析工具
文字檢視、grep過濾檢測、webmin管理套件中檢視
awk、sed等文字過濾、格式化編輯工具
webalizer、awstats等專用日誌分析工具
日誌系統審計、運維注意事項
1.系統管理人員應該提高警惕,隨時注意各種可疑狀況,並且按時和隨機地檢查各種系統日誌檔案,包括一般資訊日誌、網路連線日誌、檔案傳輸日誌以及使用者登入日誌等。在檢查這些日誌時,要注意是否有不合常理的時間記載。例如:
使用者在非常規的時間登入;
不正常的日誌記錄,比如日誌的殘缺不全或者是諸如wtmp這樣的日誌檔案無故地缺少了中間的記錄檔案;
使用者登入系統的ip位址和以往的不一樣;
使用者登入失敗的日誌記錄,尤其是那些一再連續嘗試進入失敗的日誌記錄;
非法使用或不正當使用超級使用者許可權su的指令;
無故或者非法重新啟動各項網路服務的記錄。
2.另外,尤其提醒管理人員注意的是,日誌並不是完全可靠的。高明的黑客在入侵系統後,經常會打掃現場。
日誌管理策略
1.及時做好備份和歸檔
2.延長日誌儲存期限
3.控制日誌訪問許可權
日誌中可能會包含各類敏感資訊,如賬戶、口令等
4.集中管理日誌
將伺服器的日誌檔案發到統一的日誌檔案伺服器
便於日誌資訊的統一收集、整理和分析
杜絕日誌資訊的意外丟失、惡意篡改或刪除
Linux日誌安全分析技巧
我正在整理乙個專案,收集和彙總了一些應急響應案例 不斷更新中 linux系統擁有非常靈活和強大的日誌功能,可以儲存幾乎所有的操作記錄,並可以從中檢索出我們需要的資訊。本文簡介一下linux系統日誌及日誌分析技巧。日誌預設存放位置 var log 檢視日誌配置情況 more etc rsyslog.c...
認識與分析日誌檔案
日誌檔案可以幫助我們了解很多系統重要的事件,包括登入者的部分資訊,因此日誌檔案的許可權通常是設定為僅有root能夠讀取而已。那麼常見的日誌檔案有那些?可檢視crontab排程是否被執行?進行過程是否發生錯誤?編寫是否正確?記錄系統在開機的時候核心檢測過程所產生的各項資訊。記錄系統上面所有的賬號最近一...
linux apache 日誌分析與狀態
linux apache 日誌分析與狀態 假設apache日誌格式為 問題1 在apachelog中找出訪問次數最多的10個ip。awk apache log sort uniq c sort nr head n 10 awk 首先將每條日誌中的ip抓出來,如日誌格式被自定義過,可以 f 定義分隔符...