日志分析与安全

日志为什么重要?

1.用于记录系统、程序运行中发生的各种事件

2.通过阅读日志,有助于诊断和解决系统故障

3.是审计的基础

日志文件的分类

1.内核及系统日志:有系统服务rsyslogd统一进行管理,日志格式基本相似

2.用户日志:记录系统用户登录及退出系统的相关信息

3.程序日志:由各种应用程序独立管理的日志文件,记录格式不统一

在Linux系统中,有三个主要的日志子系统:

1.链接事件日志:由多个程序执行,把记录写入到/var/log/wtmp和/war/run/utmp,login等程序会更新wtmp和utmp文件,使系统管理员能够跟踪谁在何时登录到系统

2.进程统计:由系统内核执行,当一个进程终止时,为每个进程往进程统计文件中写一个记录。进程统计的目的是为系统中的基本服务命令使用统计。

3.错误日志:由rsyslogd守护程序执行,各种系统守护进程、用户程序和内核通过rsyslogd守护程序向文件/var/log/messages报告值得注意的事件。另外有许多Linux程序创建日志。像HTTP和FTP这样提供网路服务的服务器也保持详细的日志。

日志保存位置

1.默认位置:/var/log 目录下

主要日志文件介绍

1.内核及公共消息日志: /var/log/messages

2.计划任务日志:/var/log/cron

3.系统引导日志:/var/log/dmesg

4.邮件系统日志:/var/log/maillog

5.用户登录日志:/var/log/lastlog(最近的用户登录事件)

    /var/log/secure(用户验证相关的安全性事件)

    /var/log/wtmp(当前登录用户详细信息)

    /var/run/utmp(用户登录、注销及系统开、关机等事件)

6.其他日志

用户日志

1.有关当前登录用户的信息记录在文件utmp中;utmp文件被各种命令文件使用,包括who、w、users和finger。

2.登录和退出记录在文件wtmp中;数据交换、关机以及重启的信息也都记录在wtmp文件中;wtmp文件被命令last和ac使用。

3.所有的记录都包含时间戳。时间戳对于日志来说非常重要,因为很多攻击行为分析都是与时间有极大关系的。

这两个文件是二进制文件,不能用诸如tail、cat之类的命令来进行访问、操作。

内核及系统日志

1.由系统服务rsyslogd统一管理

软件包:rsyslogd-7.4.7-7.el7_0.x86_64

主要程序:/sbin/rsyslogd

配置文件:/etc/rsyslog.conf

内核及系统日志

1.日志消息的级别

0  EMERG(紧急):导致主机系统不可用的情况

1  ALERT(警告):必须马上采取措施解决的问题

2  CRIT(严重):比较严重的情况

3  ERR(错误):运行出现错误

4  WARNING(提醒):可能会影响系统功能的事件

5  NOTICE(注意):不会影响系统但值得注意

6  INFO(信息):一般信息

7 DEBUG(调试):程序或系统调试信息等

2.日志记录的一般格式

时间戳、主机名、子系统、消息级别、消息字段内容

程序日志

1.由相关的应用程序独立进行管理,如:

Web服务:/var/log/httpd/

    access log、error log

代理服务:/var/log/squid/

    access.log、cache.log、squid.out、store.log

FTP服务:/var/log/xferlog

2.分析工具

文本查看、grep过滤检测、webmin管理套件中查看

awk、sed等文本过滤、格式化编辑工具

Webalizer、Awstats等专用日志分析工具

日志系统审计、运维注意事项

1.系统管理人员应该提高警惕,随时注意各种可疑状况,并且按时和随机地检查各种系统日志文件,包括一般信息日志、网络连接日志、文件传输日志以及用户登录日志等。在检查这些日志时,要注意是否有不合常理的时间记载。例如:

用户在非常规的时间登录;

不正常的日志记录,比如日志的残缺不全或者是诸如wtmp这样的日志文件无故地缺少了中间的记录文件;

用户登录系统的IP地址和以往的不一样;

用户登录失败的日志记录,尤其是那些一再连续尝试进入失败的日志记录;

非法使用或不正当使用超级用户权限su的指令;

无故或者非法重新启动各项网络服务的记录。

2.另外,尤其提醒管理人员注意的是,日志并不是完全可靠的。高明的黑客在入侵系统后,经常会打扫现场。

日志管理策略

1.及时做好备份和归档

2.延长日志保存期限

3.控制日志访问权限

     日志中可能会包含各类敏感信息,如账户、口令等

4.集中管理日志

     将服务器的日志文件发到统一的日志文件服务器

     便于日志信息的统一收集、整理和分析

     杜绝日志信息的意外丢失、恶意篡改或删除

posted @ 2019-08-05 21:37  RiwellAckerman  阅读(...)  评论(... 编辑 收藏