第十三章 日誌管理及安全
一、日誌檔案說明
日誌的功能
用於記錄系統、程式執行中發生的各種事件
通過閱讀日誌,有助於診斷和解決系統故障
日誌檔案的分類
核心及系統日誌
由系統服務syslog統一進行管理,日誌格式基本相似
使用者日誌
記錄系統使用者登入及退出系統的相關資訊
程式日誌
由各種應用程式獨立管理的日誌檔案,記錄格式不統一
日誌的功能
用於記錄系統、程式執行中發生的各種事件
通過閱讀日誌,有助於診斷和解決系統故障
日誌檔案的分類
核心及系統日誌
由系統服務syslog統一進行管理,日誌格式基本相似
使用者日誌
記錄系統使用者登入及退出系統的相關資訊
程式日誌
由各種應用程式獨立管理的日誌檔案,記錄格式不統一
• 核心及公共訊息日誌
• /var/log/messages
• 計劃任務日誌
• /var/log/cron
• 系統引導日誌
• /var/log/dmesg
• 郵件系統日誌
• /var/log/maillog
• 使用者登入日誌
• /var/log/lastlog
• /var/log/secure
• /var/log/wtmp
• /var/run/btmp
二、核心及系統日誌
由系統服務 rsyslogd 統一管理
軟體包:rsyslog-7.4.7-16.el7.x86_64
主要程式:/sbin/rsyslogd
配置檔案:/etc/rsyslog.conf
日誌訊息的級別
0 EMERG(緊急):會導致主機系統不可用的情況
1 ALERT(警告):必須馬上採取措施解決的問題
2 CRIT(嚴重):比較嚴重的情況
3 ERR(錯誤):執行出現錯誤
4 WARNING(提醒):可能會影響系統功能的事件
5 NOTICE(注意):不會影響系統但值得注意
6 INFO(資訊):一般資訊
7 DEBUG(除錯):程式或系統除錯資訊等
日誌記錄的樣式
安全日誌
儲存了使用者登入、退出系統等相關資訊
/var/log/lastlog:最近的使用者登入事件
/var/log/wtmp:使用者登入、登出及系統開、關機事件
/var/run/utmp:當前登入的每個使用者的詳細資訊
/var/log/secure:與使用者驗證相關的安全性事件
分析工具
users 、who、w、last、lastb
由相應的應用程式獨立進行管理
Web服務:/var/log/httpd/
access_log、error_log
代理服務:/var/log/squid/
access.log、cache.log、
FTP服務:/var/log/xferlog
分析工具
文字檢視、grep過濾檢索、Webmin管理套件中檢視
awk、sed等文字過濾、格式化編輯工具
Webalizer、Awstats等專用日誌分析工具
日誌檔案管理方案:
及時作好備份和歸檔
延長日誌儲存期限
控制日誌訪問許可權
日誌中可能會包含各類敏感資訊,如賬戶、口令等
集中管理日誌
將伺服器的日誌檔案發到統一的日誌檔案伺服器
便於日誌資訊的統一收集、整理和分析
杜絕日誌資訊的意外丟失、惡意篡改或刪除
三、日誌管理配置
記錄日誌服務的主配置檔案:/etc/rsyslog.conf
第一塊:Modules模組載入
第二塊:Global Directory全域性資料夾配置
第三塊:rules規則
服務.級別 記錄的檔案及路徑 //級別包括8個級別
建立日誌伺服器
如何建立日誌同步伺服器
1.說明 (日誌傳送機+日誌伺服器)(日誌傳送機就是傳統的伺服器,需要外發自己的日誌)
2.本地存日誌---同步---遠端存日誌
2.確定日誌傳送機3件事情:1)發什麼日誌? 2)怎麼發?3)發給誰?
登入使用者操作 日誌協議514 目標伺服器資訊
確定日誌伺服器3件事情:1)確保日誌服務開啟 2)收誰的? 3)怎麼收?
配置接收日誌選項 來源IP 建立指定路徑
-日誌傳送機:vi /etc/rsyslog.conf 79行
服務.級別 @@TCP協議 IP地址:514
如:authpriv.* @@172.18.11.83:514
service rsyslog restart
-日誌伺服器(接收)配置檔案修改 vi /etc/rsyslog.conf
第一塊內容:13-14行UDP去掉# 17-18行TCP去掉# //注意,註釋是有講究的,空格
檢視開啟以下象如下內容示例
Provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 514
Provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 514
第二塊內容:確定全域性日誌配置檔案的資料夾狀態:
$IncludeConfig /etc/rsyslog.d/*.conf
儲存退出
建立來源IP接收日誌配置(需手動建立),如:
/etc/rsyslog.d/172.18.11.67.conf
內容如下:
格式: :屬性, 比較操作符, "值" 日誌檔案路徑
屬性包括:fromhost,fromhost-ip,msg,hostname
操作符包括:contains,isequal,startswith
例如:
:fromhost-ip, isequal, “172.18.11.67” /var/log/receive/secdenglu.log
注:子資料夾不需要手動建立,重啟伺服器後會自動生成。
重啟服務並觀察埠 systemctl restart rsyslog 並檢查是否生成client資料夾及log檔案
遠端登入檢視日誌變化是否同步
作業: