信息安全工程6-3 参考资料-Syslog全析.ppt

1、Unix/Linux的系统日志syslog Unix类操作系统提供了系统范围的日志服务支持syslog，Syslog是系统内部的“探针”，是负责记录大部分系統事件(event)的一个后台程序，记录包括核心、系統程许及使用者自行开发程序的运行情况及及所发生的事件。可以说，syslog是能够最精确、最可靠、最及时反映主机系统运行情况的机制和数据。 由于syslog的特点（实时、海量、复杂、重要）和处理的技术原因，Unix系统的syslog一直都没有有效的利用和发掘。Unix/Linux的系统日志syslog Unix/Linux系统的分类 System V和BSD风格两种 目前的大多数商业系统是两

2、者的混合体 Syslog的机制的思想和实现来源于BSD系统，后被System V所采用。 Syslog是Internet协议族的一员，RFC3164 使用UDP/514进行通讯 使用syslogd后台进程，syslogd启动时读配置文件/etc/syslog.conf 配置文件改变后要使其生效需要重新启动syslogSyslogd的内部机制，三种情况syslogdInternet socket/etc/servicesDomain socket/dev/logSpecial device/dev/klogsyslogdklogdmodulesUnix/Linux的系统日志syslogsyslo

3、g.conf的每一行（#开头的为注释，将被忽略）由“选择符 动作”组成（selector action）。syslog.conf的一般格式如下： facility.priority; facility.priorityaction 即：设施.优先级;设施.优先级 记录行为设施和优先级的名字都是系统提供的标准名字 可以用*表示任何设施（句点前的*）或任何优先级（句点后的*） 指定一个优先级的意思为大于等于该优先级的日志消息 用none表示不包括任何优先级。 Linux对bsd的syslog做了一些扩展，引入了=和!。在任何一个优先级前用=，表示仅针对该优先级而不包括大于它的优先级。!表示求反，可

4、以放在优先级或=前面（如果有的话），表示和原来相反的意思。 具有相同优先级的几个设施可以一起写在句点前面，用,分开。具有相同动作的多个选择符可以写在同一行的选择符域，各个选择符之间用;分开。Unix/Linux的系统日志syslogSyslog反映Unix/Linux子系统8级信息分类：优先级对应的数字越低情况越严重 诊断DEBUG， 用于调试，程序，产品设备7DEBUG信息INFO，有用的信息 6INFO提示NOTICE，普通但重要的事件 5NOTICE警告WARNING任何报警，警告事件4WARNING错误ERR任何错误的东西，错误事件3ERR致命错误CRIT，设备发生了关键性问题情况,包

5、括进程CRASH,OVERFLOW2CRIT警报ALERT，任何需要立即注意的发生情况1ALERT应急EMERY，任何紧急情况，包括系统PANIC。0EMERGUnix/Linux的系统日志syslog syslog.conf 的选择符示例 local0.* local0的任何优先级的日志消息 *.crit任何设施的优先级大于等于关键事件的日志消息 *.=crit 任何设施的关键事件日志消息 *.*；kern.none 除kern外的其他任何设施的任何日志消息 kern.info；kern.!=err kern设施从info到warning之间的日志消息 syslog.conf 具体示例Uni

6、x/Linux的系统日志syslog Syslogd提供了如下的记录动作 (action)。 文件名 写入某个文件，注意文件名要带绝对路径。 命名管道（fifo）， |程序 通过管道转发给某个程序，程序文件名要带绝对路径。 /dev/console 发送到本地机器终端和控制台上 hostname 或 IP地址 转发给另外一台远程主机的syslogd程序 用户列表 * 发送到所有用户的终端上 Syslog反映的Unix/Linux事件举例 Unix/Linux系统内核产生的0-7级，以及相关的硬件问题 Unix/Linux网络部分产生的0-7级 Unix/Linux的安全模块部分，如iptabl

7、e，access control Unix/Linux的高可用性部分产生的0-7级 Unix/Linux的“设备”及其设备驱动程序的0-7级 Unix/Linux的各类系统daemon产生的0-7级，如SNMP模块 Unix/Linux的系统服务模块，如WWW,DNS,MAIL. Unix/Linux的第三方和应用系统，如tripwire, snort，checkpoint,. Unix/Linux的系统管理过程中产生的syslog Unix/Linux的用户开发程序使用syslog API 产生的日志Syslog反映的Unix/Linux事件举例 安全方面，主机系统安全评估、主机管理、入侵跟

8、踪和取证 主机和存储、高可用系统的故障诊断，分析，定位，长期跟踪系统的运行情况，将定期的主机系统健康检查，变成实时的跟踪和观察，并可以定制警报，在条件满足时通过多种方式通知系统管理员，无论管理员在哪里。 系统管理，如登陆、文件系统满、系统重新/意外启动、文件系统unmout/mount，主机的访问，设备的增加减少，系统核心参数的改变，核心的配置不合理等等，可以说保罗万象Syslog反映的Unix/Linux事件举例 硬件方面 (CPU, Raid Controllers, Memory) 磁盘阵列控制器配置的改变可影响磁盘读取操作的响应时间 內存奇偶校验的失败可导致操作系统崩溃 CPU 风扇不

9、能正常工作导致高温会使CPU间歇性重启 操作系统方面 (Device Drivers, Memory Allocation, Disk Access Manager) 设备驱动程序的内存泄漏可导致“脏”的或不可用的内存块，影响内存分配和使用率 磁盘碎片影响逻辑磁盘的存取时间，不能有效对应用程序进行置换 低质量的多线程应用导致 CPU 使用率太高Syslog反映的Unix/Linux事件举例 HP MC/ServiceGuard的进程，共有八个守候进程与 ServiceGuard 有关 /usr/lbin/cmlogdServiceGuard 系统日志记录守候进程，将HP双机系统工作的日志、故障

10、警报日志通过syslog记录 其它的Unix/Linux，无论是否通过硬件实现双机结构，都通过syslog记录发生的事件Syslog反映的Unix/Linux事件举例 Unix/Linux核心和硬件 核心，以System V风格的Unix系统为例，64个左右的系统调用和实现构成的集合就是核心的主体 64个系统调用，大约产生的核心方面的问题有64*8（0-7）类！ 通过系统调用，就是核心同计算机硬件沟通 每个系统调用，system_call都会产生syslog信息，特别是有系统故障和报警时候，如系统资源方面的问题。 所有的程序都需要system_call 存取权限错误。记帐程序，如用户登陆、系统

11、使用文件系统的多少等都会通过syslog反映，如使用su,login,logout等Syslog反映的Unix/Linux事件举例 系统调用fork产生syslog举例 进程创建失败，无论逻辑和物理方面的原因 系统调用mount/unmount失败 系统调用read/write/open的任何问题 文件系统引导块故障警报 文件系统超级块故障警报 文件系统索引节点问题 IPC进程间通讯问题 系统核心被编译，系统被重新启动及其启动时的问题Syslog反映的Unix/Linux事件举例 系统交换区问题，如改变，交换区资源耗尽 系统使用异步I/O时产生的任何问题 进程意外中止，进程死锁，进程改变优先级

12、 文件系统检查时的任何问题 进程被睡眠时的任何问题，包括无法唤醒 系统数据缓存和高速缓存问题，包括锁故障 系统管道故障方面的问题 分配磁盘块方面的问题 释放索引节点方面问题 文件系统数据块的改变，如大小Syslog反映的Unix/Linux事件举例 文件系统指派新索引节点问题 系统软中断和硬中断的问题 程序核心态和用户态转换方面的问题 字符设备故障问题，如终端等等 块设备故障问题，如磁带机，磁盘等等 Make/cc/link等编译器问题 Link死锁，文件系统一致性方面问题 系统调用过程问题 进程上下文切换问题 文件系统和文件备份，如cpio, dd, dump, tar等问题Syslog反映

13、的Unix/Linux事件举例 地址空间意外错误，如溢出，伸缩，重叠等进程地址空间管理问题 进程优先级意外错误方面问题 父进程和子进程共享文件处理的问题 软中断信号处理错误问题，如调度，用户态和核心态转换，内存紧张不足等 系统捕获软中断信号方面的问题，信号丢失，阻断等 Setuid/setgid方面的问题 系统shell出错问题 系统init自举时的意外，gettty的意外，进程wait/nowait意外 重要文件的意外改变如/etc/inittab，导致系统引导问题 进程换入换出意外Syslog反映的Unix/Linux事件举例 系统请求调页错误，如系统调用exec 偷页进程（page st

14、ealer）意外问题和页面错误 系统信号量方面的问题 打印系统方面问题，包括带syslog功能的打印机 任何写在/etc/services中的服务程序，包括用户自己开发的程序 需要配置/etc/inetd.conf, /etc/protocol,/etc/services 记录telnet, ftp,ssh,.的日志，包括8个级别 配置参考文档，需要重新启动inetd这个超级服务程序 记录任何基于网络的服务连接情况日志 增强的inetd, xinetd加强了日志的功能，并整合到unix/linux系统中，并代替inetdSyslog反映的Unix/Linux事件举例 Scsi ，RAID子系统

15、方面的故障信息，如scsi cable问题 任何“设备文件”的故障信息，如/dev/klog, /etc/tty 任何后台进程的意外情况，如inetd本身 通过snmpd daemon产生的系统性能方面的信息和故障Syslog反映的Unix/Linux事件举例 Telnet的session信息，问题等 Ftp的session信息，问题 Ssh的session信息，问题 Dns方面的工作和故障问题，如/etc/named, bind Nfs工具和相应的网络文件系统的问题 Ldap服务方面的问题 邮件服务器，如sendmail, qmail等的交易日志，故障等 Web服务器，如apache, to

16、mcat等的交易日志，故障 Syslogd本身的日志Syslog反映的Unix/Linux事件举例 Tripwire产生的工作和故障，反映系统文件的变动 CA access control核心防护软件产生的信息 Unix防病毒软件产生的日志 代理服务器，如squid产生的交易和故障 TCP Wrapper工具产生的日志，通过tcpd Snort IDS软件产生的syslog 数据库的后台进程和各类中间件（依赖于具体情况） 任何软件升级（包括OS），补丁，安装，卸载的情况，补丁引起的各种问题 硬件的改变，增加、减少Unix/Linux的系统日志syslog 不是所有的日志都有syslogd记录

17、与syslog无关的系统记录：wtmp、utmp、lastlog、pacct等，系统核心记录了一些与使用者帐号存取有关的信息。 应用程序运行日志， 如Apache Server的access.log及error.log等。网络设备的syslog配置 Cisco设备syslog配置操作 device#conf t device(config)#logging on device(config)#logging a.b.c.d /日志服务器的IP地址 device(config)#logging facility local1 /facility标识, RFC3164 规定的本地设备标识为 loc

18、al0 - local7 device(config)#logging source-interface e0 /日志发出用的源IP地址 device(config)#service timestamps log datetime localtime /日志记录的时间戳设置，可根据需要具体配置 device#sh logging /检查配置网络设备的syslog配置 华为设备syslog配置操作 【命令】undo info-center loghost loghost-number ip-address port local0 | | local7 English | Chinese emer

19、gencies | alerts | critical | errors | warnings |notifications | informational | debugging filter facility1 facility2 【参数】 loghost-number：指示选择一台Unix 主机，取值范围为09。ip-address：指定Unix 主机的IP 地址，为点分十进制形式。port：端口号，取值范围165535，缺省值是514。local0local7：指定Unix 本地应用。缺省的本地应用名称为local7。English | Chinese：使用英文或中文作为输出缓冲区日志信息的显示语言。缺省输出到缓冲区日志信息的显示语言为English。 facility1 facility2 ：打开相应过滤模块信息的开关。输出到缓冲区日志信息缺省为不按模块过滤信息。【举例】 使用ip 地址为10.110.200.200 的计算机作为日志主机，并打开向其输出日志信息的开关。Quidway info-center loghost 0 10.110.200.200 620 errors