Linux日志分析与安全

**

在Linux系统中，有三个主要的日志子系统:

连接时间日志: 由多个程序执行，把记录写入到/var/log/wtmp和/var/run/utmp，login等程序会更新wtmp和utmp文件，使系统管理员能够跟踪谁在何时登录到系统。
进程统计: 由系统内核执行，当一个进程终止时，为每个进程往进程统计文件中写一个记录。进程统计的目的是为系统中的基本服务提供命令使用统计。
错误日志: 由rsyslog守护程序执行，各种系统守护进程、用户程序和内核通过rsyslog守护程序向文件/var/log/messages报告值得注意的事件。另外有许多Linux程序创建日志。像HTTP和FTP这样提供网络服务的服务器也保持详细的日志。

日志保存位置
默认位于：/var/log 目录下
主要日志文件介绍
内核及公共消息日志：/var/log/messages
计划任务日志：/var/log/cron
系统引导日志：/var/log/dmesg
邮件系统日志：/var/log/maillog
用户登录日志：/var/log/lastlog //最近的用户登录事件
/var/log/secure //用户验证相关的安全性事件
/var/log/wtmp //当前登录用户详细信息
/var/run/utmp //用户登录、注销及系统开、关机等事件

用户日志
有关当前登录用户的信息记录在文件utmp中；utmp文件被各种命令使用，包括who、w、users和finger。
登录和退出记录在文件wtmp中；数据交换、关机以及重启的信息也都记录在wtmp文件中；wtmp文件被命令last和ac使用。
所有的记录都包含时间戳。时间戳对于日志来说非常重要，因为很多攻击行为分析都是与时间有极大关系的。
这两个文件是二进制文件，不能用诸如tail、cat之类的命令来进行访问、操作。
查看和统计

内核及系统日志
由系统服务 rsyslog 统一管理
软件包：rsyslog-7.4.7-7.el7_0.x86_64
主要程序：/usr/sbin/rsyslogd
配置文件：/etc/rsyslog.conf
查看配置文件内容grep -v “^$” /etc/rsyslog.conf

日志消息的级别
0 EMERG（紧急）：会导致主机系统不可用的情况
1 ALERT（警戒）：必须马上采取措施解决的问题
2 CRIT（严重）：比较严重的情况
3 ERR（错误）：运行出现错误
4 WARNING（警告）：可能会影响系统功能的事件
5 NOTICE（提醒）：不会影响系统但值得注意
6 INFO（信息）：一般信息
7 DEBUG（调试）：程序或系统调试信息等

日志记录的一般格式

配置日志服务器
第1步：安装Apache服务yum -y install httpd*
第2步：安装MariaDB数据库yum -y install mariadb*
第3步：安装PHP与其它相关软件包
yum -y install php php-gd php-xml php-mysqlnd rsyslog-mysql
yum -y install libcurl-devel net-snmp-devel
第4步：设置数据库开机运行并设置数据库管理员root的密码

第5步：设置Apache开机运行，并启动它

第6步：创建测试页，并测试


firefox http://10.0.0.11/test.php

配置日志服务器数据库



配置服务器rsyslogd的主配置文件
vim /etc/rsyslog.conf

配置防火墙，开放TCP与UDP514端口、TCP 3306端口、TCP80端口。若未禁用Selinux请设置在警告模式运行

配置日志客户端
vim /etc/rsyslog.conf
文档最后面添加

编辑/etc/bashrc，将客户端执行的所有命令写入系统日志/var/log/messages中，在文档末尾添加export PROMPT_COMMAND=’{msg=$(history 1 | {read x y;echo KaTeX parse error: Expected 'EOF', got '}' at position 3: y;}̲);logger"[euid=(whoami)]":$(whoami):{[}^{\prime }pw{d}^{\prime }]"$msg";}’

验证配置是否成功
客户端

服务器