- 論壇徽章:
- 0
|
用syslog記錄UNIX和windows日志
作者:顧翠文 mail: win2linux@163.com
版權(quán)申明:只限于非盈利性網(wǎng)站BSS、BLOG轉(zhuǎn)載和收藏���,未經(jīng)允許��,嚴(yán)禁用于商業(yè)用途���。
在比較大規(guī)模的網(wǎng)絡(luò)應(yīng)用或者對(duì)安全有一定要求的應(yīng)用中,通常需要對(duì)系統(tǒng)的日志進(jìn)行記錄分類并審核����,默認(rèn)情況下,每個(gè)系統(tǒng)會(huì)在本地硬盤上記錄自己的日志�,這樣雖然也能有日志記錄��,但是有很多缺點(diǎn):首先是管理不便�����,當(dāng)服務(wù)器數(shù)量比較多的時(shí)候,登陸每臺(tái)服務(wù)器去管理分析日志會(huì)十分不便�����,其次是安全問(wèn)題����,一旦有入侵者登陸系統(tǒng),他可以輕松的刪除所有日志��,系統(tǒng)安全分析人員不能得到任何入侵信息�����。因此��,在網(wǎng)絡(luò)中安排一臺(tái)專用的日志服務(wù)器來(lái)記錄系統(tǒng)日志是一個(gè)比較理想的方案�����。本文以FreeBSD下的syslog為例��,介紹如何利用freebsd的syslogd來(lái)記錄來(lái)自UNIX和windows的log信息����。
一�, 記錄UNIX類主機(jī)的log信息:
首先需要對(duì)Freebsd的syslog進(jìn)行配置����,使它允許接收來(lái)自其他服務(wù)器的log信息。
在/etc/rc.conf中加入:
syslogd_flags="-4 -a 0/0:*"
說(shuō)明:freebsd的syslogd參數(shù)設(shè)置放在/etc/rc.conf文件的syslogd_flags變量中
Freebsd對(duì)syslogd的默認(rèn)設(shè)置參數(shù)是syslogd_flags="-s"�����,(可以在/etc/defaults/rc.conf中看到)
默認(rèn)的參數(shù)-s表示打開(kāi)UDP端口監(jiān)聽(tīng)����,但是只監(jiān)聽(tīng)本機(jī)的UDP端口,拒絕接收來(lái)自其他主機(jī)的log信息���。如果是兩個(gè)ss,即-ss�,表示不打開(kāi)任何UDP端口��,只在本機(jī)用/dev/log設(shè)備來(lái)記錄log.
修改后的參數(shù)說(shuō)明:
-4 只監(jiān)聽(tīng)I(yíng)Pv4端口���,如果你的網(wǎng)絡(luò)是IPv6協(xié)議���,可以換成-6
-a 0/0:* 接受來(lái)自所有網(wǎng)段所有端口發(fā)送過(guò)來(lái)的log信息����。
如果只希望syslogd接收來(lái)自某特定網(wǎng)段的log信息可以這樣寫:-a 192.168.1.0/24:*
-a 192.168.1.0/24:514或者-a 192.168.1.0/24表示僅接收來(lái)自該網(wǎng)段514端口的log信息��,這也是freebsd的syslogd進(jìn)程默認(rèn)設(shè)置�����,也就是說(shuō)freebsd在接收來(lái)自其他主機(jī)的log信息的時(shí)候會(huì)判斷對(duì)方發(fā)送信息的端口�����,如果對(duì)方不是用514端口發(fā)送的信息����,那么freebsd的syslogd會(huì)拒絕接收信息��。即���,在默認(rèn)情況下必須:遠(yuǎn)程IP的514端口 發(fā)送到本地IP的514�����,
在參數(shù)中加入*,表示允許接收來(lái)自任何端口的log信息�����。這點(diǎn)���,在記錄UNIX類主機(jī)信息的時(shí)候感覺(jué)不到加不加有什么區(qū)別����,因?yàn)閁NIX類主機(jī)都是用514端口發(fā)送和接收syslog信息的��。但是在接收windows信息的時(shí)候就非常重要了��。因?yàn)閣indows的syslog軟件不用514端口發(fā)送信息����,這會(huì)讓默認(rèn)配置的syslogd拒絕接收信息。筆者同樣在linux系統(tǒng)下用linux的syslogd來(lái)配置log服務(wù)器�����,發(fā)現(xiàn)linux下的syslogd就沒(méi)有那么多限制�,只要給syslogd加上-r參數(shù),就可以接收來(lái)自任何主機(jī)任何端口的syslog信息����,在這方面來(lái)說(shuō)freebsd的默認(rèn)配置安全性要比linux稍微高一點(diǎn)。
修改好syslogd參數(shù)后,我們需要修改一下/etc/syslog.conf文件�,指定log信息的存放路徑,
比如你要記錄其他系統(tǒng)的遠(yuǎn)程登陸登出信息并指定日志存放路徑�����,則需要修改以下行:
authpriv.* /var/log/testlog
這表示把系統(tǒng)的登入登出日志(包括本機(jī)系統(tǒng)登陸登出日志)存放到/var/log/testlog文件中�。
當(dāng)然����,這是最簡(jiǎn)陋的做法,因?yàn)檫@樣會(huì)把所有服務(wù)器的登陸登出信息存放在一個(gè)文件中��,察看的時(shí)候很不方便��,通常的做法是用一個(gè)腳本����,對(duì)接收到的信息進(jìn)行簡(jiǎn)單的分揀,再發(fā)送到不同的文件�����。
如下設(shè)置:
authpriv.* |/var/log/filter_log.sh
在記錄目標(biāo)前面加上“|”表示把接收到的信息交給后面的程序處理���,這個(gè)程序可以是一個(gè)專門的日志處理軟件�,也可以是一個(gè)自己編寫的小的腳本,舉例:
#!/bin/sh
read stuff
SERVER=`echo $stuff |awk ‘{print $4}’`
echo $stuff >> /var/log/login_log/$SERVER.log
這個(gè)簡(jiǎn)單的腳本以IP作為分類依據(jù)����,先用read讀取log信息,用awk取出第四字段(即IP地址或者主機(jī)名所在的字段)���,以該字段為文件名存放該主機(jī)的日志�。
這樣一來(lái)����,來(lái)自192.168.1.1的log會(huì)記錄到192.168.1.1.log文件中,來(lái)自192.168.1.2的log會(huì)被記錄在192.168.1.2.log文件中,分析和歸類就比較方便了�。當(dāng)然這是一個(gè)最簡(jiǎn)單的例子,讀者可以根據(jù)自己的需求寫出更好的腳本����,甚至把log信息分類后插入數(shù)據(jù)庫(kù)中,這樣日志的管理和分析就更方便了�����。
最后重啟一下syslogd服務(wù)��,讓配置生效:
/etc/rc.d/syslogd restart
OK,服務(wù)端的配置完成。現(xiàn)在配置一下客戶端:
這里所說(shuō)的客戶端�����,就是發(fā)送自己的日志到遠(yuǎn)程日志服務(wù)器上的主機(jī)�����。
修改/etc/syslog.conf文件:
我們舉例你只要記錄系統(tǒng)登入登出日志到遠(yuǎn)程日志服務(wù)器上�,那么只需要修改以下一行:
authpriv.* @192.168.10.100
這里的192.168.10.100就是log服務(wù)器的IP���,“@”符號(hào)表示發(fā)送到遠(yuǎn)程主機(jī)��。
OK�����,重啟一下syslog服務(wù):
Linux: /etc/init.d/syslogd restart
BSD: /etc/rc.d/syslogd restart
用logger測(cè)試一下是否配置成功:
logger –p authpriv.notice “Hello,this is a test”
到log服務(wù)器上去看看����,“Hello,this is a test”應(yīng)該已經(jīng)被記錄下了���。最后在客戶機(jī)上登陸登出幾次��,看看真實(shí)的authpriv信息是否也被成功的記錄下���。
二�����, Windows日志的記錄
對(duì)于UNIX類主機(jī)之間記錄日志���,由于協(xié)議、軟件和日志信息格式等都大同小異�����,因此實(shí)現(xiàn)起來(lái)比較簡(jiǎn)單��,但是windows的系統(tǒng)日志格式不同����,日志記錄軟件�,方式等都不同����。因此,我們需要第三方的軟件來(lái)將windows的日志轉(zhuǎn)換成syslog類型的日志后�,轉(zhuǎn)發(fā)給syslog服務(wù)器�。
介紹第三方軟件evtsys (全稱是evntlog to syslog)
這是一個(gè)非常小巧而且免費(fèi)的第三方日志記錄軟件�����,下載地址如下:
https://engineering.purdue.edu/E ... cuments/UNIX/evtsys
文件才幾十K大小,非常小巧�,解壓后是兩個(gè)文件evtsys.dll和evtsys.exe
把這兩個(gè)文件拷貝到 c:\windows\system32目錄下���。
打開(kāi)Windows命令提示符(開(kāi)始->運(yùn)行 輸入CMD)
C:\>evtsys –i –h 192.168.10.100
-i 表示安裝成系統(tǒng)服務(wù)
-h 指定log服務(wù)器的IP地址
如果要卸載evtsys,則:
net stop evtsys
evtsys -u
啟動(dòng)該服務(wù):
C:\>net start evtsys
打開(kāi)windows組策略編輯器 (開(kāi)始->運(yùn)行 輸入 gpedit.msc)
在windows設(shè)置-> 安全設(shè)置 -> 本地策略 ->審核策略 中,打開(kāi)你需要記錄的windows日志����。evtsys會(huì)實(shí)時(shí)的判斷是否有新的windows日志產(chǎn)生,然后把新產(chǎn)生的日志轉(zhuǎn)換成syslogd可識(shí)別的格式,通過(guò)UDP 3072端口發(fā)送給syslogd服務(wù)器��。
OK,所有的配置windows端配置完成�,現(xiàn)在配置一下syslogd的配置文件.
參數(shù)的配置和上面相同����,
所不同的是evtsys是以daemon設(shè)備的方式發(fā)送給 syslogd log信息的。
因此����,需要在/etc/syslog.conf中加入:
daemon.notice |/var/log/filter_log.sh
關(guān)于syslog 記錄設(shè)備和記錄等級(jí)方面的知識(shí)可以參考syslog文檔。
OK����,所有配置設(shè)置完成�����。
Linux �、BSD和windows上的系統(tǒng)日志都可以統(tǒng)一記錄到一臺(tái)日志服務(wù)器上輕松管理了�����。 |
|
免費(fèi)注冊(cè)
發(fā)表于 2006-12-12 19:54
