Linux日志分析与安全

**

在Linux系统中,有三个主要的日志子系统:

连接时间日志: 由多个程序执行,把记录写入到/var/log/wtmp和/var/run/utmp,login等程序会更新wtmp和utmp文件,使系统管理员能够跟踪谁在何时登录到系统。
进程统计: 由系统内核执行,当一个进程终止时,为每个进程往进程统计文件中写一个记录。进程统计的目的是为系统中的基本服务提供命令使用统计。
错误日志: 由rsyslog守护程序执行,各种系统守护进程、用户程序和内核通过rsyslog守护程序向文件/var/log/messages报告值得注意的事件。另外有许多Linux程序创建日志。像HTTP和FTP这样提供网络服务的服务器也保持详细的日志。

日志保存位置
默认位于:/var/log 目录下
主要日志文件介绍
内核及公共消息日志:/var/log/messages
计划任务日志:/var/log/cron
系统引导日志:/var/log/dmesg
邮件系统日志:/var/log/maillog
用户登录日志:/var/log/lastlog //最近的用户登录事件
/var/log/secure //用户验证相关的安全性事件
/var/log/wtmp //当前登录用户详细信息
/var/run/utmp //用户登录、注销及系统开、关机等事件

用户日志
有关当前登录用户的信息记录在文件utmp中;utmp文件被各种命令使用,包括who、w、users和finger。
登录和退出记录在文件wtmp中;数据交换、关机以及重启的信息也都记录在wtmp文件中;wtmp文件被命令last和ac使用。
所有的记录都包含时间戳。时间戳对于日志来说非常重要,因为很多攻击行为分析都是与时间有极大关系的。
这两个文件是二进制文件,不能用诸如tail、cat之类的命令来进行访问、操作。
查看和统计
Linux日志分析与安全_第1张图片
内核及系统日志
由系统服务 rsyslog 统一管理
软件包:rsyslog-7.4.7-7.el7_0.x86_64
主要程序:/usr/sbin/rsyslogd
配置文件:/etc/rsyslog.conf
查看配置文件内容grep -v “^$” /etc/rsyslog.conf
Linux日志分析与安全_第2张图片
日志消息的级别
0 EMERG(紧急):会导致主机系统不可用的情况
1 ALERT(警戒):必须马上采取措施解决的问题
2 CRIT(严重):比较严重的情况
3 ERR(错误):运行出现错误
4 WARNING(警告):可能会影响系统功能的事件
5 NOTICE(提醒):不会影响系统但值得注意
6 INFO(信息):一般信息
7 DEBUG(调试):程序或系统调试信息等

日志记录的一般格式
Linux日志分析与安全_第3张图片
配置日志服务器
第1步:安装Apache服务yum -y install httpd*
第2步:安装MariaDB数据库yum -y install mariadb*
第3步:安装PHP与其它相关软件包
yum -y install php php-gd php-xml php-mysqlnd rsyslog-mysql
yum -y install libcurl-devel net-snmp-devel
第4步:设置数据库开机运行并设置数据库管理员root的密码
在这里插入图片描述
第5步:设置Apache开机运行,并启动它
在这里插入图片描述
第6步:创建测试页,并测试
在这里插入图片描述
Linux日志分析与安全_第4张图片
firefox http://10.0.0.11/test.php
Linux日志分析与安全_第5张图片
配置日志服务器数据库
在这里插入图片描述
Linux日志分析与安全_第6张图片
Linux日志分析与安全_第7张图片
配置服务器rsyslogd的主配置文件
vim /etc/rsyslog.conf
Linux日志分析与安全_第8张图片
配置防火墙,开放TCP与UDP514端口、TCP 3306端口、TCP80端口。若未禁用Selinux请设置在警告模式运行
在这里插入图片描述
配置日志客户端
vim /etc/rsyslog.conf
文档最后面添加
在这里插入图片描述
编辑/etc/bashrc,将客户端执行的所有命令写入系统日志/var/log/messages中,在文档末尾添加export PROMPT_COMMAND=’{msg=$(history 1 | {read x y;echo KaTeX parse error: Expected 'EOF', got '}' at position 3: y;}̲);logger"[euid=(whoami)]": ( w h o a m i ) : [ ′ p w d ′ ] " (who am i):['pwd']" (whoami):[pwd]"msg";}’
在这里插入图片描述
验证配置是否成功
客户端
Linux日志分析与安全_第9张图片
服务器
Linux日志分析与安全_第10张图片

你可能感兴趣的:(日志服务器,linux,mysql,php,http)