日志管理和统计.pdf

日志管理和统计 日志管理和统计 write by Kevinzou write by Kevinzou kissingwolf@ kissingwolf@ 版权声明： 本文遵循“署名­非商业性使用­相同方式共享 2.5 中国大陆”协 您可以自由复制、发行、展览、表演、放映、广播或通过信息网络传播本作品 您可以根据本作品演义自己的作品 您必须按照作者或者许可人指定的方式对作品进行署名。 您不得将本作品用于商业目的。 如果您改变、转换本作品或者以本作品为基础进行创作，您只能采用与本协议相同的许 可协议发布基于本作品的演绎作品。 对任何再使用或者发行，您都必须向他人清楚地展示本作品使用的许可协议条款。 如果得到著作权人的许可，您可以不受任何这些条件的限制。 Kevinzou （kissingwolf@ ) 本文目录 第 1 节 日志在系统中的应用1 第 2 节 Linux 系统日志3 第 3 节 日志更新和备份8 第 4 节 远程集中日志14 第 5 节 WEB 程序日志分析工具16 第 6 节 安装 AWStats21 I 日志管理和统计 第 1节 日志在系统中的应用 1. 日志系统就是记账系统 2. 日志系统分类 ● 操作系统日志 ● 应用程序日志 ● 安全系统日志 3. 存放日志的方式 ● ACSII 码文本日志 ● 二进制日志 4. 日志的自动化分析 在一个完整的系统管理体系里，日志系统是一个非常重要的功能组成部分。它负责记录 下系统或程序所产生的行为，并按照某种规范表达出来。系统管理员可以使用日志系统所记 录的信息为系统或程序进行排错、优化系统的性能和根据这些信息调整系统或程序运行的行 为。在安全领域，日志系统的重要地位尤甚，可以说是安全审计方面最主要的工具之一。 按照系统类型进行区分的话，日志系统可以分为操作系统日志、应用程序日志、安全系 统日志等等。每种操作系统的日志都有其自身特有的设计和规范，例如 Windows 系统的日 志通常按照其惯有的应用程序、安全和系统这样的分类方式进行存储，而 Linux 和其他类 UNIX 系统通常都使用兼容 Syslog 规范的日志系统。 而很多硬件设备的操作系统也具有独立的日志功能，以 Cisco 路由器为代表的网络设备 通常都具有输出 Syslog 兼容日志的能力。应用系统日志主要包括各种应用程序服务器（例 如 Web服务器、FTP服务器 ）的日志系统和应用程序自身的日志系统，不同的应用系统都 具有根据其自身要求设计的日志系统。安全系统日志从狭义上讲指信息安全方面设备或软件 如防火墙系统的日志，从更广泛的意义上来说，所有为了安全目的所产生的日志都可归入此 类。 值得注意的是，对于文本格式的日志文件，我们通过基本的 grep命 就可以执行这样 1 日志管理和统计 的搜索。而对于使用二进制格式存储的日志文件，执行这种检查会复杂一些，通常需要利用 日志系统本身的阅读程序进行读取或解码。这需要管理员非常熟悉所维护系统相关的安全漏 洞 ，以及相应系统下的脚本编写技术 ，但是在这些方面付出汗水是绝对值得的，至少像你在 维护相当多的系统时还可以挤出时间阅读技术类杂志是很让人羡慕的。 编写脚本定期分析日志，脚本报警后采取相应的补救行动，能阻挡不少恶意访问行为和 系统漏洞。但这并不是一个系统管理员生活的全部，还是有很多问题会安然通过这些检测 ， 对系统形成破坏。从本质上来讲 ，自动化的日志处理是相对粗旷的，主要起