第7章节 Linux系统日志.ppt

第7章 Linux系统日志 日志记录了系统每天发生的各种各样的事件，对于解决计算机系统的故障和保证系统的安全来说非常重要。用户可以通过日志来了解系统运行的状态，检查各种错误发生的原因，或者寻找攻击者留下的痕迹。下面介绍一下Linux操作系统中有关日志的情况，包括日志类型、日志管理、日志监测和分析等内容。 7.1 Linux系统日志基础 Linux系统包含了很多与日志有关的软件包，通过这些软件包可以对日志进行记录、管理、分析、监测等操作。其中，最基本的系统日志功能是由sysklogd软件包实现的，它记录了内核和Linux系统最关键的日志。下面介绍一下有关sysklogd的运行、配置和日志的查看等内容。 7.1.1 Linux系统日志进程的运行 日志是保障Linux系统安全的重要手段，通过审计和监测系统日志可以及时发现系统故障，检测和追踪入侵，并为系统出错时能恢复正常工作提供重要的帮助。RHEL 5发行版包含了两种系统日志功能，一种是syslog，用于记录常规的日志，还有一种是klog，用于记录内核活动信息。 7.1.2 Linux系统日志配置 日志进程syslogd的配置文件是/etc/syslog.conf，它的内容决定了系统日志记录哪些内容、采取什么动作等等。syslog.conf是典型的Unix配置格式，每行包含一项配置内容，“#”是注释符，其后的字符将被忽略，空行和空格也被忽略。 7.1.3 查看Linux系统日志 从初始的系统日志配置可以看到，默认情况下，Linux的日志文件都存放在/var/log目录，这些日志文件的文件主用户基本上都是root，而且大部分的日志其它用户是不能查看的。 7.2 Linux日志高级专题 上一节介绍了记录系统日志的方法，为了更有效地对这些日志进行管理，还需要其它一些工具。为了防止日志文件占用过多的磁盘空间，需要定时对其进行删除，这可以由日志的转储功能来实现。此外，有些日志内容不是文本格式，需要通过特定的命令才能显示出来。还有，通过记录某些日志信息还可以实现对用户和进程进行记帐的功能。 7.2.1 日志的转储 为了减轻系统管理员的负担，Linux系统提供了一种日志转储的功能。假设一个日志文件的名字是log，利用日志转储功能，可以在某一时刻，自动将其改名为log.1，而原来的log文件清空后继续使用。再到了某一时刻，log.1将命名为log.2，log命名为log.1，log再清空后继续。依次类推，最终结果是把日志分到按顺序排列的文件中。 在Linux系统中，日志转储功能是由logrotate命令实现的，它可以设置成按日、按周或按月进行转储，也能在文件太大时立即处理。 7.2.2 登录日志 Linux系统还使用一种特殊的日志保留用户的登录信息，这些日志信息存放在/var/log目录的wtmp和lastlog文件，以及/var/run目录的utmp文件中，它们是由多个进程写入的。有关当前登录用户的信息记录在文件utmp中。wtmp文件主要存放用户的登入和退出信息，此外还存放关机、重起等信息。最后一次登录的信息存放在lastlog文件中。 7.2.3 记帐功能 在系统管理中，有时需要记录用户对资源的消费情况，作为对用户帐号收取费用的依据。这些日志也可以用于安全目的，提供有关系统活动的有价值的信息。Linux系统提供了一个名为psacct的软件包，可以实现上述的记帐功能。 7.3 日志分析工具 对于拥有大量账户、系统非常繁忙的Linux系统来说，其日志文件是极其庞大的，大量没有价值的信息会将有用的信息淹没，给管理员分析和管理日志带来了很大的不便。为了解决这个问题，出现了很多专门的日志分析工具，下面介绍一下Logcheck和swatch日志分析工具的安装、运行和使用方法。 7.3.1 Logcheck日志分析工具 Logcheck用来分析庞大的日志文件，它可以自动运行，过滤出有潜在安全风险或其它不正常情况的日志内容，然后以电子邮件等形式通知指定的用户。Logcheck的主页是，对于RHEL5系统来说，可以到下载RPM包直接进行安装，logcheck-1.1.1-2.i586.rpm是其最新版本的文件名。 7.3.2 Swatch日志分析工具 Swatch是另一个功能强大的Linux日志分析和监控工具，它是一种由perl语言编写的程序，可以根据配置文件的设置对系统中的日志内容进行搜索和监控，一旦发现指定的关键字，将会以各种方式报警。Swatch不仅能够定期地扫描日志文件，而且它能够象Syslogd守护进程那样主动扫描日志文件并对特定的日志消息采取修复行动。可以在系统中运行多个Swatch进程，以便对不同的日志进行不同形式的分析与监控。 7.4 小结 系统日志为保证主机安全提供了