书签 分享 收藏 举报 版权申诉 / 25
上传文档赚钱

类型信息安全工程6-3 参考资料-Syslog全析.ppt

  • 上传人(卖家):罗嗣辉
  • 文档编号:2046160
  • 上传时间:2022-01-21
  • 格式:PPT
  • 页数:25
  • 大小:459KB
  • 【下载声明】
    1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
    2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
    3. 本页资料《信息安全工程6-3 参考资料-Syslog全析.ppt》由用户(罗嗣辉)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
    4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
    5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
    配套讲稿:

    如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。

    特殊限制:

    部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。

    关 键  词:
    信息安全工程6-3 参考资料-Syslog全析 信息 安全工程 参考资料 Syslog
    资源描述:

    1、Unix/Linux的系统日志syslog Unix类操作系统提供了系统范围的日志服务支持syslog,Syslog是系统内部的“探针”,是负责记录大部分系統事件(event)的一个后台程序,记录包括核心、系統程许及使用者自行开发程序的运行情况及及所发生的事件。可以说,syslog是能够最精确、最可靠、最及时反映主机系统运行情况的机制和数据。 由于syslog的特点(实时、海量、复杂、重要)和处理的技术原因,Unix系统的syslog一直都没有有效的利用和发掘。Unix/Linux的系统日志syslog Unix/Linux系统的分类 System V和BSD风格两种 目前的大多数商业系统是两

    2、者的混合体 Syslog的机制的思想和实现来源于BSD系统,后被System V所采用。 Syslog是Internet协议族的一员,RFC3164 使用UDP/514进行通讯 使用syslogd后台进程,syslogd启动时读配置文件/etc/syslog.conf 配置文件改变后要使其生效需要重新启动syslogSyslogd的内部机制,三种情况syslogdInternet socket/etc/servicesDomain socket/dev/logSpecial device/dev/klogsyslogdklogdmodulesUnix/Linux的系统日志syslogsyslo

    3、g.conf的每一行(#开头的为注释,将被忽略)由“选择符 动作”组成(selector action)。syslog.conf的一般格式如下: facility.priority; facility.priorityaction 即:设施.优先级;设施.优先级 记录行为设施和优先级的名字都是系统提供的标准名字 可以用*表示任何设施(句点前的*)或任何优先级(句点后的*) 指定一个优先级的意思为大于等于该优先级的日志消息 用none表示不包括任何优先级。 Linux对bsd的syslog做了一些扩展,引入了=和!。在任何一个优先级前用=,表示仅针对该优先级而不包括大于它的优先级。!表示求反,可

    4、以放在优先级或=前面(如果有的话),表示和原来相反的意思。 具有相同优先级的几个设施可以一起写在句点前面,用,分开。具有相同动作的多个选择符可以写在同一行的选择符域,各个选择符之间用;分开。Unix/Linux的系统日志syslogSyslog反映Unix/Linux子系统8级信息分类:优先级对应的数字越低情况越严重 诊断DEBUG, 用于调试,程序,产品设备7DEBUG信息INFO,有用的信息 6INFO提示NOTICE,普通但重要的事件 5NOTICE警告WARNING任何报警,警告事件4WARNING错误ERR任何错误的东西,错误事件3ERR致命错误CRIT,设备发生了关键性问题情况,包

    5、括进程CRASH,OVERFLOW2CRIT警报ALERT,任何需要立即注意的发生情况1ALERT应急EMERY,任何紧急情况,包括系统PANIC。0EMERGUnix/Linux的系统日志syslog syslog.conf 的选择符示例 local0.* local0的任何优先级的日志消息 *.crit任何设施的优先级大于等于关键事件的日志消息 *.=crit 任何设施的关键事件日志消息 *.*;kern.none 除kern外的其他任何设施的任何日志消息 kern.info;kern.!=err kern设施从info到warning之间的日志消息 syslog.conf 具体示例Uni

    6、x/Linux的系统日志syslog Syslogd提供了如下的记录动作 (action)。 文件名 写入某个文件,注意文件名要带绝对路径。 命名管道(fifo), |程序 通过管道转发给某个程序,程序文件名要带绝对路径。 /dev/console 发送到本地机器终端和控制台上 hostname 或 IP地址 转发给另外一台远程主机的syslogd程序 用户列表 * 发送到所有用户的终端上 Syslog反映的Unix/Linux事件举例 Unix/Linux系统内核产生的0-7级,以及相关的硬件问题 Unix/Linux网络部分产生的0-7级 Unix/Linux的安全模块部分,如iptabl

    7、e,access control Unix/Linux的高可用性部分产生的0-7级 Unix/Linux的“设备”及其设备驱动程序的0-7级 Unix/Linux的各类系统daemon产生的0-7级,如SNMP模块 Unix/Linux的系统服务模块,如WWW,DNS,MAIL. Unix/Linux的第三方和应用系统,如tripwire, snort,checkpoint,. Unix/Linux的系统管理过程中产生的syslog Unix/Linux的用户开发程序使用syslog API 产生的日志Syslog反映的Unix/Linux事件举例 安全方面,主机系统安全评估、主机管理、入侵跟

    8、踪和取证 主机和存储、高可用系统的故障诊断,分析,定位,长期跟踪系统的运行情况,将定期的主机系统健康检查,变成实时的跟踪和观察,并可以定制警报,在条件满足时通过多种方式通知系统管理员,无论管理员在哪里。 系统管理,如登陆、文件系统满、系统重新/意外启动、文件系统unmout/mount,主机的访问,设备的增加减少,系统核心参数的改变,核心的配置不合理等等,可以说保罗万象Syslog反映的Unix/Linux事件举例 硬件方面 (CPU, Raid Controllers, Memory) 磁盘阵列控制器配置的改变可影响磁盘读取操作的响应时间 內存奇偶校验的失败可导致操作系统崩溃 CPU 风扇不

    9、能正常工作导致高温会使CPU间歇性重启 操作系统方面 (Device Drivers, Memory Allocation, Disk Access Manager) 设备驱动程序的内存泄漏可导致“脏”的或不可用的内存块,影响内存分配和使用率 磁盘碎片影响逻辑磁盘的存取时间,不能有效对应用程序进行置换 低质量的多线程应用导致 CPU 使用率太高Syslog反映的Unix/Linux事件举例 HP MC/ServiceGuard的进程,共有八个守候进程与 ServiceGuard 有关 /usr/lbin/cmlogdServiceGuard 系统日志记录守候进程,将HP双机系统工作的日志、故障

    10、警报日志通过syslog记录 其它的Unix/Linux,无论是否通过硬件实现双机结构,都通过syslog记录发生的事件Syslog反映的Unix/Linux事件举例 Unix/Linux核心和硬件 核心,以System V风格的Unix系统为例,64个左右的系统调用和实现构成的集合就是核心的主体 64个系统调用,大约产生的核心方面的问题有64*8(0-7)类! 通过系统调用,就是核心同计算机硬件沟通 每个系统调用,system_call都会产生syslog信息,特别是有系统故障和报警时候,如系统资源方面的问题。 所有的程序都需要system_call 存取权限错误。记帐程序,如用户登陆、系统

    11、使用文件系统的多少等都会通过syslog反映,如使用su,login,logout等Syslog反映的Unix/Linux事件举例 系统调用fork产生syslog举例 进程创建失败,无论逻辑和物理方面的原因 系统调用mount/unmount失败 系统调用read/write/open的任何问题 文件系统引导块故障警报 文件系统超级块故障警报 文件系统索引节点问题 IPC进程间通讯问题 系统核心被编译,系统被重新启动及其启动时的问题Syslog反映的Unix/Linux事件举例 系统交换区问题,如改变,交换区资源耗尽 系统使用异步I/O时产生的任何问题 进程意外中止,进程死锁,进程改变优先级

    12、 文件系统检查时的任何问题 进程被睡眠时的任何问题,包括无法唤醒 系统数据缓存和高速缓存问题,包括锁故障 系统管道故障方面的问题 分配磁盘块方面的问题 释放索引节点方面问题 文件系统数据块的改变,如大小Syslog反映的Unix/Linux事件举例 文件系统指派新索引节点问题 系统软中断和硬中断的问题 程序核心态和用户态转换方面的问题 字符设备故障问题,如终端等等 块设备故障问题,如磁带机,磁盘等等 Make/cc/link等编译器问题 Link死锁,文件系统一致性方面问题 系统调用过程问题 进程上下文切换问题 文件系统和文件备份,如cpio, dd, dump, tar等问题Syslog反映

    13、的Unix/Linux事件举例 地址空间意外错误,如溢出,伸缩,重叠等进程地址空间管理问题 进程优先级意外错误方面问题 父进程和子进程共享文件处理的问题 软中断信号处理错误问题,如调度,用户态和核心态转换,内存紧张不足等 系统捕获软中断信号方面的问题,信号丢失,阻断等 Setuid/setgid方面的问题 系统shell出错问题 系统init自举时的意外,gettty的意外,进程wait/nowait意外 重要文件的意外改变如/etc/inittab,导致系统引导问题 进程换入换出意外Syslog反映的Unix/Linux事件举例 系统请求调页错误,如系统调用exec 偷页进程(page st

    14、ealer)意外问题和页面错误 系统信号量方面的问题 打印系统方面问题,包括带syslog功能的打印机 任何写在/etc/services中的服务程序,包括用户自己开发的程序 需要配置/etc/inetd.conf, /etc/protocol,/etc/services 记录telnet, ftp,ssh,.的日志,包括8个级别 配置参考文档,需要重新启动inetd这个超级服务程序 记录任何基于网络的服务连接情况日志 增强的inetd, xinetd加强了日志的功能,并整合到unix/linux系统中,并代替inetdSyslog反映的Unix/Linux事件举例 Scsi ,RAID子系统

    15、方面的故障信息,如scsi cable问题 任何“设备文件”的故障信息,如/dev/klog, /etc/tty 任何后台进程的意外情况,如inetd本身 通过snmpd daemon产生的系统性能方面的信息和故障Syslog反映的Unix/Linux事件举例 Telnet的session信息,问题等 Ftp的session信息,问题 Ssh的session信息,问题 Dns方面的工作和故障问题,如/etc/named, bind Nfs工具和相应的网络文件系统的问题 Ldap服务方面的问题 邮件服务器,如sendmail, qmail等的交易日志,故障等 Web服务器,如apache, to

    16、mcat等的交易日志,故障 Syslogd本身的日志Syslog反映的Unix/Linux事件举例 Tripwire产生的工作和故障,反映系统文件的变动 CA access control核心防护软件产生的信息 Unix防病毒软件产生的日志 代理服务器,如squid产生的交易和故障 TCP Wrapper工具产生的日志,通过tcpd Snort IDS软件产生的syslog 数据库的后台进程和各类中间件(依赖于具体情况) 任何软件升级(包括OS),补丁,安装,卸载的情况,补丁引起的各种问题 硬件的改变,增加、减少Unix/Linux的系统日志syslog 不是所有的日志都有syslogd记录

    17、与syslog无关的系统记录:wtmp、utmp、lastlog、pacct等,系统核心记录了一些与使用者帐号存取有关的信息。 应用程序运行日志, 如Apache Server的access.log及error.log等。网络设备的syslog配置 Cisco设备syslog配置操作 device#conf t device(config)#logging on device(config)#logging a.b.c.d /日志服务器的IP地址 device(config)#logging facility local1 /facility标识, RFC3164 规定的本地设备标识为 loc

    18、al0 - local7 device(config)#logging source-interface e0 /日志发出用的源IP地址 device(config)#service timestamps log datetime localtime /日志记录的时间戳设置,可根据需要具体配置 device#sh logging /检查配置网络设备的syslog配置 华为设备syslog配置操作 【命令】undo info-center loghost loghost-number ip-address port local0 | | local7 English | Chinese emer

    19、gencies | alerts | critical | errors | warnings |notifications | informational | debugging filter facility1 facility2 【参数】 loghost-number:指示选择一台Unix 主机,取值范围为09。ip-address:指定Unix 主机的IP 地址,为点分十进制形式。port:端口号,取值范围165535,缺省值是514。local0local7:指定Unix 本地应用。缺省的本地应用名称为local7。English | Chinese:使用英文或中文作为输出缓冲区日志信息的显示语言。缺省输出到缓冲区日志信息的显示语言为English。 facility1 facility2 :打开相应过滤模块信息的开关。输出到缓冲区日志信息缺省为不按模块过滤信息。【举例】 使用ip 地址为10.110.200.200 的计算机作为日志主机,并打开向其输出日志信息的开关。Quidway info-center loghost 0 10.110.200.200 620 errors

    展开阅读全文
    提示  163文库所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
    关于本文
    本文标题:信息安全工程6-3 参考资料-Syslog全析.ppt
    链接地址:https://www.163wenku.com/p-2046160.html

    Copyright@ 2017-2037 Www.163WenKu.Com  网站版权所有  |  资源地图   
    IPC备案号:蜀ICP备2021032737号  | 川公网安备 51099002000191号


    侵权投诉QQ:3464097650  资料上传QQ:3464097650
       


    【声明】本站为“文档C2C交易模式”,即用户上传的文档直接卖给(下载)用户,本站只是网络空间服务平台,本站所有原创文档下载所得归上传人所有,如您发现上传作品侵犯了您的版权,请立刻联系我们并提供证据,我们将在3个工作日内予以改正。

    163文库