第7章 Linux系统日志.ppt

第第7 7章章 LinuxLinux系统日志系统日志日志记录了系统每天发生的各种各样的事件，对于解决日志记录了系统每天发生的各种各样的事件，对于解决计算机系统的故障和保证系统的安全来说非常重要。用户可计算机系统的故障和保证系统的安全来说非常重要。用户可以通过日志来了解系统运行的状态，检查各种错误发生的原以通过日志来了解系统运行的状态，检查各种错误发生的原因，或者寻找攻击者留下的痕迹。下面介绍一下因，或者寻找攻击者留下的痕迹。下面介绍一下Linux操作操作系统中有关日志的情况，包括日志类型、日志管理、日志监系统中有关日志的情况，包括日志类型、日志管理、日志监测和分析等内容。测和分析等内容。7.1 Linux7.1 Linux系统日志基础系统日志基础Linux系统包含了很多与日志有关的软件包，通过这些系统包含了很多与日志有关的软件包，通过这些软件包可以对日志进行记录、管理、分析、监测等操作。其软件包可以对日志进行记录、管理、分析、监测等操作。其中，最基本的系统日志功能是由中，最基本的系统日志功能是由sysklogd软件包实现的，软件包实现的，它记录了内核和它记录了内核和Linux系统最关键的日志。下面介绍一下有系统最关键的日志。下面介绍一下有关关sysklogd的运行、配置和日志的查看等内容。的运行、配置和日志的查看等内容。7.1.1 Linux7.1.1 Linux系统日志进程的运行系统日志进程的运行日志是保障日志是保障Linux系统安全的重要手段，通过审计和监系统安全的重要手段，通过审计和监测系统日志可以及时发现系统故障，检测和追踪入侵，并为测系统日志可以及时发现系统故障，检测和追踪入侵，并为系统出错时能恢复正常工作提供重要的帮助。系统出错时能恢复正常工作提供重要的帮助。RHEL 5发行发行版包含了两种系统日志功能，一种是版包含了两种系统日志功能，一种是syslog，用于记录常规用于记录常规的日志，还有一种是的日志，还有一种是klog，用于记录内核活动信息。用于记录内核活动信息。7.1.2 Linux7.1.2 Linux系统日志配置系统日志配置日志进程日志进程syslogd的配置文件是的配置文件是/etc/syslog.conf，它的内容决定它的内容决定了系统日志记录哪些内容、采取什么动作等等。了系统日志记录哪些内容、采取什么动作等等。syslog.conf是典型的是典型的Unix配置格式，每行包含一项配置内容，配置格式，每行包含一项配置内容，“#”是注释符，其后的字符将是注释符，其后的字符将被忽略，空行和空格也被忽略。被忽略，空行和空格也被忽略。7.1.3 7.1.3 查看查看LinuxLinux系统日志系统日志从初始的系统日志配置可以看到，默认情况下，从初始的系统日志配置可以看到，默认情况下，Linux的日志文件的日志文件都存放在都存放在/var/log目录，这些日志文件的文件主用户基本上都是目录，这些日志文件的文件主用户基本上都是root，而而且大部分的日志其它用户是不能查看的。且大部分的日志其它用户是不能查看的。7.2 Linux7.2 Linux日志高级专题日志高级专题上一节介绍了记录系统日志的方法，为了更有效地对这上一节介绍了记录系统日志的方法，为了更有效地对这些日志进行管理，还需要其它一些工具。为了防止日志文件些日志进行管理，还需要其它一些工具。为了防止日志文件占用过多的磁盘空间，需要定时对其进行删除，这可以由日占用过多的磁盘空间，需要定时对其进行删除，这可以由日志的转储功能来实现。此外，有些日志内容不是文本格式，志的转储功能来实现。此外，有些日志内容不是文本格式，需要通过特定的命令才能显示出来。还有，通过记录某些日需要通过特定的命令才能显示出来。还有，通过记录某些日志信息还可以实现对用户和进程进行记帐的功能。志信息还可以实现对用户和进程进行记帐的功能。7.2.1 7.2.1 日志的转储日志的转储为了减轻系统管理员的负担，为了减轻系统管理员的负担，Linux系统提供了一种日系统提供了一种日志转储的功能。假设一个日志文件的名字是志转储的功能。假设一个日志文件的名字是log，利用日志利用日志转储功能，可以在某一时刻，自动将其改名为转储功能，可以在某一时刻，自动将其改名为log.1，而原而原来的来的log文件清空后继续使用。再到了某一时刻，文件清空后继续使用。再到了某一时刻，log.1将命将命名为名为log.2，log命名为命名为log.1，log再清空后继续。依次类推，再清空后继续。依次类推，最终结果是把日志分到按顺序排列的文件中。最终结果是把日志分到按顺序排列的文件中。在在Linux系统中，日志转储功能是由系统中，日志转储功能是由logrotate命令实现命令实现的，它可以设置成按日、按周或按月进行转储，也能在文件的，它可以设置成按日、按周或按月进行转储，也能在文件太大时立即处理。太大时立即处理。7.2.2 7.2.2 登录日志登录日志Linux系统还使用一种特殊的日志保留用户的登录信息，系统还使用一种特殊的日志保留用户的登录信息，这些日志信息存放在这些日志信息存放在/var/log目录的目录的wtmp和和lastlog文件，文件，以及以及/var/run目录的目录的utmp文件中，它们是由多个进程写入文件中，它们是由多个进程写入的。有关当前登录用户的信息记录在文件的。有关当前登录用户的信息记录在文件utmp中。中。wtmp文文件主要存放用户的登入和退出信息，此外还存放关机、重起件主要存放用户的登入和退出信息，此外还存放关机、重起等信息。最后一次登录的信息存放在等信息。最后一次登录的信息存放在lastlog文件中。文件中。7.2.3 7.2.3 记帐功能记帐功能在系统管理中，有时需要记录用户对资源的消费情况，在系统管理中，有时需要记录用户对资源的消费情况，作为对用户帐号收取费用的依据。这些日志也可以用于安全作为对用户帐号收取费用的依据。这些日志也可以用于安全目的，提供有关系统活动的有价值的信息。目的，提供有关系统活动的有价值的信息。Linux系统提供系统提供了一个名为了一个名为psacct的软件包，可以实现上述的记帐功能。的软件包，可以实现上述的记帐功能。7.3 7.3 日志分析工具日志分析工具对于拥有大量账户、系统非常繁忙的对于拥有大量账户、系统非常繁忙的Linux系统来说，系统来说，其日志文件是极其庞大的，大量没有价值的信息会将有用的其日志文件是极其庞大的，大量没有价值的信息会将有用的信息淹没，给管理员分析和管理日志带来了很大的不便。为信息淹没，给管理员分析和管理日志带来了很大的不便。为了解决这个问题，出现了很多专门的日志分析工具，下面介了解决这个问题，出现了很多专门的日志分析工具，下面介绍一下绍一下Logcheck和和swatch日志分析工具的安装、运行和使日志分析工具的安装、运行和使用方法。用方法。7.3.1 7.3.1 LogcheckLogcheck日志分析工具日志分析工具Logcheck用来分析庞大的日志文件，它可以自动运行，用来分析庞大的日志文件，它可以自动运行，过滤出有潜在安全风险或其它不正常情况的日志内容，然后过滤出有潜在安全风险或其它不正常情况的日志内容，然后以电子邮件等形式通知指定的用户。以电子邮件等形式通知指定的用户。Logcheck的主页是的主页是http:/logcheck.org，对于对于RHEL5系统来说，可以到系统来说，可以到http:/下载下载RPM包直接进行安装，包直接进行安装，logcheck-1.1.1-2.i586.rpm是其最新版本的文件名。是其最新版本的文件名。7.3.2 Swatch7.3.2 Swatch日志分析工具日志分析工具Swatch是另一个功能强大的是另一个功能强大的Linux日志分析和监控工日志分析和监控工具，它是一种由具，它是一种由perl语言编写的程序，可以根据配置文件的语言编写的程序，可以根据配置文件的设置对系统中的日志内容进行搜索和监控，一旦发现指定的设置对系统中的日志内容进行搜索和监控，一旦发现指定的关键字，将会以各种方式报警。关键字，将会以各种方式报警。Swatch不仅能够定期地扫不仅能够定期地扫描日志文件，而且它能够象描日志文件，而且它能够象Syslogd守护进程那样主动扫描守护进程那样主动扫描日志文件并对特定的日志消息采取修复行动。可以在系统中日志文件并对特定的日志消息采取修复行动。可以在系统中运行多个运行多个Swatch进程，以便对不同的日志进行不同形式的进程，以便对不同的日志进行不同形式的分析与监控。分析与监控。7.4 7.4 小结小结系统日志为保证主机安全提供了有力的手段，通过系统系统日志为保证主机安全提供了有力的手段，通过系统日志，系统管理员可以发现操作系统及应用进程运行时存在日志，系统管理员可以发现操作系统及应用进程运行时存在的各种问题，以及实现对用户进行审计等功能。本章首先讲的各种问题，以及实现对用户进行审计等功能。本章首先讲述了述了Linux系统日志的基础知识及配置方法，然后介绍一些系统日志的基础知识及配置方法，然后介绍一些高级的日志专题，如日志的轮储、日志审计等功能，最后介高级的日志专题，如日志的轮储、日志审计等功能，最后介绍了两种常见的日志分析工具。绍了两种常见的日志分析工具。