第十三章 日志管理及安全

一、日志文件说明
日志的功能
用于记录系统、程序运行中发生的各种事件
通过阅读日志,有助于诊断和解决系统故障
日志文件的分类
内核及系统日志
由系统服务syslog统一进行管理,日志格式基本相似
用户日志
记录系统用户登录及退出系统的相关信息
程序日志
由各种应用程序独立管理的日志文件,记录格式不统一
日志的功能
用于记录系统、程序运行中发生的各种事件
通过阅读日志,有助于诊断和解决系统故障
日志文件的分类
内核及系统日志
由系统服务syslog统一进行管理,日志格式基本相似
用户日志
记录系统用户登录及退出系统的相关信息
程序日志
由各种应用程序独立管理的日志文件,记录格式不统一
? 内核及公共消息日志
? /var/log/messages
? 计划任务日志
? /var/log/cron
? 系统引导日志
? /var/log/dmesg
? 邮件系统日志
? /var/log/maillog
? 用户登录日志
? /var/log/lastlog
? /var/log/secure
? /var/log/wtmp
? /var/run/btmp

二、内核及系统日志
由系统服务 rsyslogd 统一管理
软件包:rsyslog-7.4.7-16.el7.x86_64
主要程序:/sbin/rsyslogd
配置文件:/etc/rsyslog.conf
日志消息的级别
0 EMERG(紧急):会导致主机系统不可用的情况
1 ALERT(警告):必须马上采取措施解决的问题
2 CRIT(严重):比较严重的情况
3 ERR(错误):运行出现错误
4 WARNING(提醒):可能会影响系统功能的事件
5 NOTICE(注意):不会影响系统但值得注意
6 INFO(信息):一般信息
7 DEBUG(调试):程序或系统调试信息等
日志记录的样式

安全日志
保存了用户登录、退出系统等相关信息
/var/log/lastlog:最近的用户登录事件
/var/log/wtmp:用户登录、注销及系统开、关机事件
/var/run/utmp:当前登录的每个用户的详细信息
/var/log/secure:与用户验证相关的安全性事件
分析工具
users 、who、w、last、lastb
由相应的应用程序独立进行管理
Web服务:/var/log/httpd/
access_log、error_log
代理服务:/var/log/squid/
access.log、cache.log、
FTP服务:/var/log/xferlog
分析工具
文本查看、grep过滤检索、Webmin管理套件中查看
awk、sed等文本过滤、格式化编辑工具
Webalizer、Awstats等专用日志分析工具
日志文件管理方案:
及时作好备份和归档
延长日志保存期限
控制日志访问权限
日志中可能会包含各类敏感信息,如账户、口令等
集中管理日志
将服务器的日志文件发到统一的日志文件服务器
便于日志信息的统一收集、整理和分析
杜绝日志信息的意外丢失、恶意篡改或删除

三、日志管理配置
记录日志服务的主配置文件:/etc/rsyslog.conf

第一块:Modules模块加载

第二块:Global Directory全局文件夹配置

第三块:rules规则
服务.级别 记录的文件及路径 //级别包括8个级别
建立日志服务器
如何建立日志同步服务器
1.说明 (日志发送机+日志服务器)(日志发送机就是传统的服务器,需要外发自己的日志)

2.本地存日志---同步---远程存日志

2.确定日志发送机3件事情:1)发什么日志? 2)怎么发?3)发给谁?
登录用户操作 日志协议514 目标服务器信息

确定日志服务器3件事情:1)确保日志服务开启 2)收谁的? 3)怎么收?
配置接收日志选项 来源IP 建立指定路径

-日志发送机:vi /etc/rsyslog.conf 79行

          服务.级别  @@TCP协议 IP地址:514
       如:authpriv.*  @@172.18.11.83:514
          service  rsyslog  restart

-日志服务器(接收)配置文件修改 vi /etc/rsyslog.conf

第一块内容:13-14行UDP去掉#    17-18行TCP去掉#      //注意,注释是有讲究的,空格
查看开启以下象如下内容示例   

Provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 514

Provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 514

第二块内容:确定全局日志配置文件的文件夹状态:
$IncludeConfig /etc/rsyslog.d/*.conf

保存退出

建立来源IP接收日志配置(需手动建立),如:
/etc/rsyslog.d/172.18.11.67.conf

内容如下:
格式: :属性, 比较操作符, "值" 日志文件路径

属性包括:fromhost,fromhost-ip,msg,hostname
操作符包括:contains,isequal,startswith

例如:

:fromhost-ip, isequal, “172.18.11.67” /var/log/receive/secdenglu.log

注:子文件夹不需要手动建立,重启服务器后会自动生成。

重启服务并观察端口 systemctl restart rsyslog 并检查是否生成client文件夹及log文件

远程登录查看日志变化是否同步

作业:

原文地址:http://blog.51cto.com/jxwpx/2316955

时间: 2024-11-13 03:16:54

第十三章 日志管理及安全的相关文章

Linux运维 第二阶段 (十三) 日志管理

一.1.在centos6.x中日志服务由rsyslogd取代了syslogd,新特点:基于TCP传输日志信息:更安全的网络传输方式:有日志消息的及时分析框架:后台数据库:配置文件中可写简单的逻辑判断:兼容syslogd. 2.系统中常见的日志文件:/var/log/cron./var/log/btmp等. 二.日志服务: 1.格式:事件产生的时间 发生事件的服务器 产生事件的服务器名或程序名 事件的具体信息 2./etc/rsyslog.conf配置文件格式:服务名称[连接符号]日志等级 日志记

Linux基础学习(13)--日志管理

第十三章--日志管理 一.日志管理简介 1.日志服务: 2.常见日志的作用: 二. rsyslogd日志服务 1.日志文件格式: 2./etc/rsyslog.conf配置文件: 三.日志轮替 1.日志文件的命名规则: 2.logrotate配置文件: 3.把apache日志加入轮替: 4.logrotate命令: 原文地址:https://www.cnblogs.com/lyq-biu/p/9638572.html

SpringBoot | 第二十三章:日志管理之整合篇

前言 在本系列<第四章:日志管理>中,由于工作中日志这块都是走默认配置,也没有深入了解过,因为部署过程中直接使用了linux中的输出重定向功能,如java -jar xx.jar > app.log 2>&1 &,直接输出到某个日志文件了.所以也就没有认真关心过默认的日志格式了.系列文章出来后,也看见有网友反馈说如何进行日志的相关配置,或者配置失效问题.本着负责的原则,本文就来详细介绍下SpringBoot中日志管理相关配置问题.也是最近熟悉了下,有不足之处,还望指

第13章 Linux日志管理

1. 日志管理 (1)简介 在CentOS 6.x中日志服务己经由rsyslogd取代了原先的syslogd服务.rsyslogd日志服务更加先进,功能更多.但是不论该服务的使用,还是日志文件的格式其实都是和syslogd相兼容的. (2)rsyslogd的新特点 ①基于TCP网络协议传输日志信息 ②更安全的网络传输方式 ③有日志消息的及时分析框架 ④后台数据库 ⑤配置文件中可以写简单的逻辑判断. ⑥与syslogd配置文件相兼容 (3)查看rsyslogd服务是否启动: ①#ps aux |

第十三章 进程、线程类的实现

                                        第十三章   进程.线程类的实现         多线程是指在一个进程内可以同时运行多个任务,每个任务由一个单独的线程来完成.线程是进程运行的基本单位,一个进程中可以同时运行多个线程.如果程序被设置为多线程方式,可以提高程序运行的效率和处理速度. 多个线程共用一个进程的资源:进程的调度.切换是在10ms的"时钟滴答"定时中断程序里进行.如果一个线程获得CPU,那么在下一个Tick到来前:是不可能被切换出去的

Gradle 1.12用户指南翻译——第二十三章. Java 插件

其他章节的翻译请参见: http://blog.csdn.net/column/details/gradle-translation.html 翻译项目请关注Github上的地址: https://github.com/msdx/gradledoc/tree/1.12. 直接浏览双语版的文档请访问: http://gradledoc.qiniudn.com/1.12/userguide/userguide.html. 另外,Android 手机用户可通过我写的一个程序浏览文档,带缓存功能的,兼容

第十三章、磁盘文件管理

第十三章.磁盘管理 本章内容 磁盘结构 1.分区类型 管理分区 2.管理文件系统 3.挂载设备 管理虚拟内存 设备文件 ?I/O Ports: I/O设备地址 ?一切皆文件: open(), read(), write(), close() ?  设备类型: 块设备:block,存取单位"块",磁盘 字符设备:char,存取单位"字符",键盘 ?  设备文件:关联至一个设备驱动程序,进而能够跟与之对应硬件设备进行通信 ?  设备号码: 主设备号:major numb

javascript高级程序设计 第十三章--事件

javascript高级程序设计 第十三章--事件js与HTML的交互就是通过事件实现的,事件就是文档或浏览器窗口中发生的一些特定的交互瞬间. 事件流:事件流描述的是从页面中接收事件的顺序,IE的是事件冒泡流,Netscape的是事件捕获流,这个两个是完全相反的事件流概念. 事件冒泡:由最具体的元素接收,然后逐级向上传播到更高级的节点,即事件沿DOM树向上传播,直到document对象. 事件捕获:不大具体的节点应该更早接收到事件,相当于沿DOM节点树向下级传播直到事件的实际目标,在浏览器中,是

SQL Server中的事务日志管理(9/9):监控事务日志

当一切正常时,没有必要特别留意什么是事务日志,它是如何工作的.你只要确保每个数据库都有正确的备份.当出现问题时,事务日志的理解对于采取修正操作是重要的,尤其在需要紧急恢复数据库到指定点时.这系列文章会告诉你每个DBA应该知道的具体细节. 对于在我们关注下的所有数据库,在日志维护方面,我们的首要目标是最优化写性能,为了支持SQL Server写入日志的所有活动,包括数据修改,数据读取,索引维护等等.但是,留意下可能的日志碎片也是重要的,如前面文章介绍的,它会影响需要读取日志的过程性能,例如日志备份