第十三章 日志管理及安全

一、日志文件说明
日志的功能
用于记录系统、程序运行中发生的各种事件
通过阅读日志，有助于诊断和解决系统故障
日志文件的分类
内核及系统日志
由系统服务syslog统一进行管理，日志格式基本相似
用户日志
记录系统用户登录及退出系统的相关信息
程序日志
由各种应用程序独立管理的日志文件，记录格式不统一
日志的功能
用于记录系统、程序运行中发生的各种事件
通过阅读日志，有助于诊断和解决系统故障
日志文件的分类
内核及系统日志
由系统服务syslog统一进行管理，日志格式基本相似
用户日志
记录系统用户登录及退出系统的相关信息
程序日志
由各种应用程序独立管理的日志文件，记录格式不统一
? 内核及公共消息日志
? /var/log/messages
? 计划任务日志
? /var/log/cron
? 系统引导日志
? /var/log/dmesg
? 邮件系统日志
? /var/log/maillog
? 用户登录日志
? /var/log/lastlog
? /var/log/secure
? /var/log/wtmp
? /var/run/btmp

二、内核及系统日志
由系统服务 rsyslogd 统一管理
软件包：rsyslog-7.4.7-16.el7.x86_64
主要程序：/sbin/rsyslogd
配置文件：/etc/rsyslog.conf
日志消息的级别
0 EMERG（紧急）：会导致主机系统不可用的情况
1 ALERT（警告）：必须马上采取措施解决的问题
2 CRIT（严重）：比较严重的情况
3 ERR（错误）：运行出现错误
4 WARNING（提醒）：可能会影响系统功能的事件
5 NOTICE（注意）：不会影响系统但值得注意
6 INFO（信息）：一般信息
7 DEBUG（调试）：程序或系统调试信息等
日志记录的样式

安全日志
保存了用户登录、退出系统等相关信息
/var/log/lastlog：最近的用户登录事件
/var/log/wtmp：用户登录、注销及系统开、关机事件
/var/run/utmp：当前登录的每个用户的详细信息
/var/log/secure：与用户验证相关的安全性事件
分析工具
users 、who、w、last、lastb
由相应的应用程序独立进行管理
Web服务：/var/log/httpd/
access_log、error_log
代理服务：/var/log/squid/
access.log、cache.log、
FTP服务：/var/log/xferlog
分析工具
文本查看、grep过滤检索、Webmin管理套件中查看
awk、sed等文本过滤、格式化编辑工具
Webalizer、Awstats等专用日志分析工具
日志文件管理方案:
及时作好备份和归档
延长日志保存期限
控制日志访问权限
日志中可能会包含各类敏感信息，如账户、口令等
集中管理日志
将服务器的日志文件发到统一的日志文件服务器
便于日志信息的统一收集、整理和分析
杜绝日志信息的意外丢失、恶意篡改或删除

三、日志管理配置
记录日志服务的主配置文件：/etc/rsyslog.conf

第一块：Modules模块加载

第二块：Global Directory全局文件夹配置

第三块：rules规则
服务.级别 记录的文件及路径 //级别包括8个级别
建立日志服务器
如何建立日志同步服务器
1.说明 （日志发送机+日志服务器）（日志发送机就是传统的服务器，需要外发自己的日志）

2.本地存日志－－－同步－－－远程存日志

2.确定日志发送机3件事情：1）发什么日志？ 2）怎么发？3）发给谁？
登录用户操作 日志协议514 目标服务器信息

确定日志服务器3件事情：1）确保日志服务开启 2）收谁的？ 3）怎么收？
配置接收日志选项 来源IP 建立指定路径

-日志发送机：vi /etc/rsyslog.conf 79行

          服务.级别  @@TCP协议 IP地址:514
       如：authpriv.*  @@172.18.11.83:514
          service  rsyslog  restart

-日志服务器（接收）配置文件修改 vi /etc/rsyslog.conf

第一块内容：13-14行UDP去掉#    17-18行TCP去掉#      //注意，注释是有讲究的，空格
查看开启以下象如下内容示例   

Provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 514

Provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 514

第二块内容：确定全局日志配置文件的文件夹状态：
$IncludeConfig /etc/rsyslog.d/*.conf

保存退出

建立来源IP接收日志配置（需手动建立），如：
/etc/rsyslog.d/172.18.11.67.conf

内容如下：
格式： :属性, 比较操作符, "值" 日志文件路径

属性包括：fromhost，fromhost-ip，msg，hostname
操作符包括：contains，isequal，startswith

例如：

:fromhost-ip, isequal, “172.18.11.67” /var/log/receive/secdenglu.log

注：子文件夹不需要手动建立，重启服务器后会自动生成。

重启服务并观察端口 systemctl restart rsyslog 并检查是否生成client文件夹及log文件

远程登录查看日志变化是否同步

作业：

原文地址：http://blog.51cto.com/jxwpx/2316955