Linux日志系統(tǒng)簡(jiǎn)介:日志對(duì)于系統(tǒng)的安全來(lái)說(shuō)非常重要,它記錄了系統(tǒng)每天發(fā)生的各種各樣的事情,用戶(hù)可以通過(guò)它來(lái)檢查錯(cuò)誤發(fā)生的原因,或者尋找受到攻擊時(shí)攻擊者留下的痕跡。日志主要的功能是審計(jì)和監(jiān)測(cè)。它還可以實(shí)時(shí)地監(jiān)測(cè)系統(tǒng)狀態(tài),監(jiān)測(cè)和追蹤侵入者。Linux系統(tǒng)一般有3個(gè)主要的日志子系統(tǒng):連接時(shí)間日志、進(jìn)程統(tǒng)計(jì)日志和錯(cuò)誤日志。
RedHat Linux常見(jiàn)的日志文件和常用命令:成功地管理任何系統(tǒng)的關(guān)鍵之一,是要知道系統(tǒng)中正在發(fā)生什么事。Linux 中提供了異常日志,并且日志的細(xì)節(jié)是可配置的。Linux 日志都以明文形式存儲(chǔ),所以用戶(hù)不需要特殊的工具就可以搜索和閱讀它們。還可以編寫(xiě)腳本,來(lái)掃描這些日志,并基于它們的內(nèi)容去自動(dòng)執(zhí)行某些功能。Linux 日志存儲(chǔ)在 /var/log 目錄中。這里有幾個(gè)由系統(tǒng)維護(hù)的日志文件,但其他服務(wù)和程序也可能會(huì)把它們的日志放在這里。大多數(shù)日志只有root賬戶(hù)才可以讀,不過(guò)修改文件的訪問(wèn)權(quán)限就可以讓其他人可讀。
配置Linux日志文件:日志也應(yīng)該是用戶(hù)注意的地方。不要低估日志文件對(duì)網(wǎng)絡(luò)安全的重要作用,因?yàn)槿罩疚募軌蛟敿?xì)記錄系統(tǒng)每天發(fā)生的各種各樣的事件,用戶(hù)可以通過(guò)日志文件檢查錯(cuò)誤產(chǎn)生的原因,或者在受到攻擊、被入侵時(shí)追蹤攻擊者的蹤跡。日志的兩個(gè)比較重要的作用是審核和監(jiān)測(cè)。配置好的Linux的日志非常強(qiáng)大。對(duì)于Linux系統(tǒng)而言,所有的日志文件在/var/log下。默認(rèn)情況下,Linux的日志文件已經(jīng)足夠強(qiáng)大,但沒(méi)有記錄FTP的活動(dòng)。用戶(hù)可以通過(guò)修改/etc/ftpacess讓系統(tǒng)記錄FTP的一切活動(dòng)。
管理Linux日志文件工具:logrotate簡(jiǎn)介:如果服務(wù)器有大量的用戶(hù)的話,這些日志文件的大小會(huì)很快地增加,在服務(wù)器硬盤(pán)不是非常充足的情況下,必須采取措施防止日志文件將硬盤(pán)撐爆。現(xiàn)代的Linux版本都有一個(gè)小程序,名為logrotate,用來(lái)幫助用戶(hù)管理日志文件,它以自己的守護(hù)進(jìn)程工作。logrotate周期性地旋轉(zhuǎn)日志文件,可以周期性地把每個(gè)日志文件重命名成一個(gè)備份名字,然后讓它的守護(hù)進(jìn)程開(kāi)始使用一個(gè)日志文件的新的拷貝。這就是為什么在/var/log/下看到許多諸如maillog、maillog.1、maillog.2、boot.log.1、boot.log.2之類(lèi)的文件名。它由一個(gè)配置文件驅(qū)動(dòng),該文件是/etc/logroatate.conf
Linux下常用日志分析工具logcheck簡(jiǎn)介:對(duì)于擁有大量賬戶(hù)、系統(tǒng)繁忙的Linux系統(tǒng)而言,其日志文件是極其龐大的,很多沒(méi)有用的信息會(huì)將值得注意的信息淹沒(méi),給用戶(hù)分析日志帶來(lái)了很大的不便。現(xiàn)在有一些專(zhuān)門(mén)用于分析日志的工具,如Logcheck和Friends。Logcheck用來(lái)分析龐大的日志文件,過(guò)濾出有潛在安全風(fēng)險(xiǎn)或其他不正常情況的日志項(xiàng)目,然后以電子郵件的形式通知指定的用戶(hù)。它是由Psionic開(kāi)發(fā)的.
