Linux日志系統簡介:日志對于系統的安全來說非常重要,它記錄了系統每天發生的各種各樣的事情,用戶可以通過它來檢查錯誤發生的原因,或者尋找受到攻擊時攻擊者留下的痕跡。日志主要的功能是審計和監測。它還可以實時地監測系統狀態,監測和追蹤侵入者。Linux系統一般有3個主要的日志子系統:連接時間日志、進程統計日志和錯誤日志。
RedHat Linux常見的日志文件和常用命令:成功地管理任何系統的關鍵之一,是要知道系統中正在發生什么事。Linux 中提供了異常日志,并且日志的細節是可配置的。Linux 日志都以明文形式存儲,所以用戶不需要特殊的工具就可以搜索和閱讀它們。還可以編寫腳本,來掃描這些日志,并基于它們的內容去自動執行某些功能。Linux 日志存儲在 /var/log 目錄中。這里有幾個由系統維護的日志文件,但其他服務和程序也可能會把它們的日志放在這里。大多數日志只有root賬戶才可以讀,不過修改文件的訪問權限就可以讓其他人可讀。
配置Linux日志文件:日志也應該是用戶注意的地方。不要低估日志文件對網絡安全的重要作用,因為日志文件能夠詳細記錄系統每天發生的各種各樣的事件,用戶可以通過日志文件檢查錯誤產生的原因,或者在受到攻擊、被入侵時追蹤攻擊者的蹤跡。日志的兩個比較重要的作用是審核和監測。配置好的Linux的日志非常強大。對于Linux系統而言,所有的日志文件在/var/log下。默認情況下,Linux的日志文件已經足夠強大,但沒有記錄FTP的活動。用戶可以通過修改/etc/ftpacess讓系統記錄FTP的一切活動。
管理Linux日志文件工具:logrotate簡介:如果服務器有大量的用戶的話,這些日志文件的大小會很快地增加,在服務器硬盤不是非常充足的情況下,必須采取措施防止日志文件將硬盤撐爆。現代的Linux版本都有一個小程序,名為logrotate,用來幫助用戶管理日志文件,它以自己的守護進程工作。logrotate周期性地旋轉日志文件,可以周期性地把每個日志文件重命名成一個備份名字,然后讓它的守護進程開始使用一個日志文件的新的拷貝。這就是為什么在/var/log/下看到許多諸如maillog、maillog.1、maillog.2、boot.log.1、boot.log.2之類的文件名。它由一個配置文件驅動,該文件是/etc/logroatate.conf
Linux下常用日志分析工具logcheck簡介:對于擁有大量賬戶、系統繁忙的Linux系統而言,其日志文件是極其龐大的,很多沒有用的信息會將值得注意的信息淹沒,給用戶分析日志帶來了很大的不便。現在有一些專門用于分析日志的工具,如Logcheck和Friends。Logcheck用來分析龐大的日志文件,過濾出有潛在安全風險或其他不正常情況的日志項目,然后以電子郵件的形式通知指定的用戶。它是由Psionic開發的.
