Solaris、Mac OS系统日志分析工具
本节以PC服务器上常见的几种UNIX系统例如Solaris、Mac OS以及Sco Openserver系统为例如何在它们这些平台下查找系统日志。
一、用SMC分析系统日志
我们知道Linux系统下的System log viewer是GNOME桌面环境的日志文件查看器,而在Solarsi9/10系统下,同样有非常方便使用GUI工具SMC(Solaris Management Console),目前版本是2.1,它包括了服务器组件(SUNWmc)、客户机组件(SUNWmcc)、常规组件(SUNmccom)、开发工具包(SUNWmcdev)、WBEM组件(SUNWwbmc)这些组件提供了系统配置,网络服务管理,存储管理和设备管理等诸多优秀的管理工具,其中日志查看器是管理员经常要关注的地方,它记录了系统日志,我们查找分析就在这里。如图1-33所示。
图1-33 SMC控制台
1).确定控制台服务器是否正在运行
# /etc/init.d/init.wbem status
SMC server version 2.1.0 running on port 898
2).如果控制台服务器未在运行,则启动它。
#/etc/init.d/init.wbem start
3).启动SMC
#/usr/sadm/bin/smc &
由于SMC权限管理是基于角色的,所以大家要以root身份进入,才能查看全部日志信息。
二、Mac OS X 的GUI日志查询工具
对于Mac Os系统的日志大家可能不常见到,有时在取证过程中常常需要,这里总结出常用的日志列表,如表1-14所示。另外在Apple Mac OS X 9 以上系统就就包含了日志查询的工具,如图1-34所示,左边一栏是系统的所有日志的列表,右边对应了某条日志的内容,右上方的搜索区域,还能可以根据关键字进行查询,使用还是相当方便的。
表 1-14 Mac系统主要日志
名称 |
路径 |
Apple系统日志消息 |
/var/log/asl |
VPN、PPPoE日志 |
/var/log/ppp.log |
打印机访问日志 |
/var/log/cups/access_log |
电源管理日志 |
/usr/bin/pmset-g.log |
防火墙日志 |
/var/log/appfirewall.log |
文件系统修复日志 |
/Users/username/Library/logs/fsck_hfs.log |
系统诊断信息 |
/var/log/DiagnosticMessages |
不仅是Cisco IOS操作系统是基于BSD内核,就连Apple这样优秀的操作系统也是基于BSD内核。对于Apple Mac OS X防火墙而言,其实你要是懂得Cisco防火墙就并不难理解了,man一下ipfw就能看出,它其实比Linux下的netfilter更简单。下面就来看个例子:例如我们要禁止ping服务器,也就是禁掉icmp,在表1-15中显示了不同操作系统实现方法。
表1-15 各操作系统之间实现方法对比
操作系统 |
命令 |
MAC OS |
ipfw add deny icmp from any to any |
Cisco Route |
access-list 100 deny icmp any any echo |
Linux |
iptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -j DROP |
细心的读者会观察到这和cisco命令十分相似,如果系统开启了防火墙功能,系统将把防火墙日志记录到appifrewall.log文件中,下面对标准日志做以下说明。
#cat /var/log/appfirewall.log
Jan 15 18:44:47 localhost socketfilterfw[49251]<info>:Deny netbiosd data in for 192.168.11.6:137 to port 137 proto=17
… …
RFC768中规定协议号17代表UDP协议17号表示是上层即传输层是udp协议,udp 137 给计算机提供获得和保护NETBIOS名称。
如果你想尝试在这些系统中分析日志,可以到这里下载实验环境:http://chenguang.blog.51cto.com/350944/1580937
更多有意思的内容请参考《Unix/Linux网络日志分析与流量监控》一书