四川同志论坛⽇志分析与安全
⽇志为什么重要?
2.通过阅读⽇志,有助于诊断和解决系统故障
3.是审计的基础
⽇志⽂件的分类
中国地方志指导小组1.内核及系统⽇志:有系统服务rsyslogd统⼀进⾏管理,⽇志格式基本相似
2.⽤户⽇志:记录系统⽤户登录及退出系统的相关信息 一位母亲与家长会阅读答案3.程序⽇志:由各种应⽤程序独⽴管理的⽇志⽂件,记录格式不统⼀
在Linux系统中,有三个主要的⽇志⼦系统:
1.链接事件⽇志:由多个程序执⾏,把记录写⼊到/var/log/wtmp和/war/run/utmp,login等程序会更新wtmp和utmp⽂件,使系统管理员能够跟踪谁在何时登录到系统
2.进程统计:由系统内核执⾏,当⼀个进程终⽌时,为每个进程往进程统计⽂件中写⼀个记录。进程统计的⽬的是为系统中的基本服务命令使⽤统计。
3.错误⽇志:由rsyslogd守护程序执⾏,各种系统守护进程、⽤户程序和内核通过rsyslogd守护程序向⽂件/var/log/messages报告值得注意的事件。另外有许多Linux程序创建⽇志。像HTTP和FTP这样提供⽹路服务的服务器也保持详细的⽇志。
⽇志保存位置
1.默认位置:/var/log ⽬录下
主要⽇志⽂件介绍
1.内核及公共消息⽇志: /var/log/messages
2.计划任务⽇志:/var/log/cron
3.系统引导⽇志:/var/log/dmesg
4.邮件系统⽇志:/var/log/maillog
5.⽤户登录⽇志:/var/log/lastlog(最近的⽤户登录事件)
美联储第二次加息/var/log/secure(⽤户验证相关的安全性事件)
/var/log/wtmp(当前登录⽤户详细信息)
/var/run/utmp(⽤户登录、注销及系统开、关机等事件)
6.其他⽇志
⽤户⽇志
1.有关当前登录⽤户的信息记录在⽂件utmp中;utmp⽂件被各种命令⽂件使⽤,包括who、w、users和finger。
2.登录和退出记录在⽂件wtmp中;数据交换、关机以及重启的信息也都记录在wtmp⽂件中;wtmp⽂件被命令last和ac使⽤。
毛利人3.所有的记录都包含时间戳。时间戳对于⽇志来说⾮常重要,因为很多攻击⾏为分析都是与时间有极⼤关系的。
这两个⽂件是⼆进制⽂件,不能⽤诸如tail、cat之类的命令来进⾏访问、操作。
内核及系统⽇志
炼焦学1.由系统服务rsyslogd统⼀管理
软件包:rsyslogd-7.4.7-7.el7_0.x86_64
主要程序:/sbin/rsyslogd
配置⽂件:/f
内核及系统⽇志
1.⽇志消息的级别
0 EMERG(紧急):导致主机系统不可⽤的情况
1 ALERT(警告):必须马上采取措施解决的问题
2 CRIT(严重):⽐较严重的情况
3 ERR(错误):运⾏出现错误
4 WARNING(提醒):可能会影响系统功能的事件
5 NOTICE(注意):不会影响系统但值得注意
6 INFO(信息):⼀般信息
7 DEBUG(调试):程序或系统调试信息等
2.⽇志记录的⼀般格式
时间戳、主机名、⼦系统、消息级别、消息字段内容
程序⽇志
1.由相关的应⽤程序独⽴进⾏管理,如:
Web服务:/var/log/httpd/
access log、error log
代理服务:/var/log/squid/
access.log、cache.log、squid.out、store.log
FTP服务:/var/log/xferlog
2.分析⼯具
⽂本查看、grep过滤检测、webmin管理套件中查看
awk、sed等⽂本过滤、格式化编辑⼯具
Webalizer、Awstats等专⽤⽇志分析⼯具
⽇志系统审计、运维注意事项
1.系统管理⼈员应该提⾼警惕,随时注意各种可疑状况,并且按时和随机地检查各种系统⽇志⽂件,包括⼀般信息⽇志、⽹络连接⽇志、⽂件传输⽇志以及⽤户登录⽇志等。在检查这些⽇志时,要注意是否有不合常理的时间记载。例如:
⽤户在⾮常规的时间登录;
不正常的⽇志记录,⽐如⽇志的残缺不全或者是诸如wtmp这样的⽇志⽂件⽆故地缺少了中间的记录⽂件;
⽤户登录系统的IP地址和以往的不⼀样;
⽤户登录失败的⽇志记录,尤其是那些⼀再连续尝试进⼊失败的⽇志记录;
⾮法使⽤或不正当使⽤超级⽤户权限su的指令;
⽆故或者⾮法重新启动各项⽹络服务的记录。
2.另外,尤其提醒管理⼈员注意的是,⽇志并不是完全可靠的。⾼明的⿊客在⼊侵系统后,经常会打扫现场。
⽇志管理策略
1.及时做好备份和归档
2.延长⽇志保存期限
3.控制⽇志访问权限
⽇志中可能会包含各类敏感信息,如账户、⼝令等
4.集中管理⽇志
将服务器的⽇志⽂件发到统⼀的⽇志⽂件服务器
便于⽇志信息的统⼀收集、整理和分析
杜绝⽇志信息的意外丢失、恶意篡改或删除
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议