利用日志使管理更轻松

开放系统　界　§　≈强§　如何让Ｌｉｎｕｘ服务器管理更方便，更便捷呢？其中的秘密就在日志信息，本文　就为大家介绍如何利用Ｌｉｎｕｘ日志使管理者更轻松。　利用日志使管理更轻松　日志记录了系统每天发生　的各种各样的事情，这些日志　信息是保障系统安全过程中的　重要组成部分。日志主要具有　审计与监测的功能，通过对日　志信息的分析，可以检查错误　发生的原因，监测追踪人侵者　及受到攻击时留下的痕迹，甚　至还能实时的进行系统状态的　监控。有效利用日志信息并对　其进行分析与实时的监控管　理，；ｔｌ于保证系统的安全性具　有极为重要的作用。　；ｔｌ于日志信息的管理通常　采用两种方法，一种方法是不　同服务器的日志信息都存放在　各自系统内，系统管理员对各　服务器进行分散管理。另一种　方法则是使用日志主机系统，　这是一个从其他主机收集日　志，并将它们存放在同一个地　方的系统，很容易使来自多＂Ｉ－　主机的日志条目关联起来，对　其进行统一的管理、分析，甚　至配合自动化工具进行实时的　监控，有效提高管理的效率。　第一种方法往往是大多数　系统管理员的常用的方法，这　种传统的管理方法在服务器数　■郑依华　量较少时还能勉强应付，但在　为，ｅｔｃ，ｓｙｓｃｏｎｆｉｇ，ｓｙｓＩｏｇ，要　处理多主机状况时却并非一种　配置其作为服务器端，需对此　有效的方法。本文主要讲述第　配置文件相应部分改为如下　二种日志管理方法，探寻一种　所示：　提高系统管理效率的途径。　ＳＹＳＬ￣Ｄ＿ＯＰＴＩＯＮＳ＝＂．ｒ　－ｍ￡　日志主机系统的部署　“一ｒ’’选项使ｓｙｓｌｏｇ接收客　日志主机系统包括日志主　户端的远程日志信息。　机及各主机系统两个部分，其　重启Ｓｙｓｌｏｇ服务器端使配　中日志主机相当于服务器端，　置生效：　而各主机系统相当于客户端，　ｊ　嘲§ｒＶＩｃｅ　ｓ、，｛｝Ｉｏｇｄ　ｔ￣ｓｔａｒｔ　将日志信息实时的传送到日志　主机上来。　Ｓｙｓｌｏｇ采用５１４端口监听　来自各客户端的日志信息，因　１．日忘主机的部■　此需要在日志主机的防火墙上　日志主机采用一台Ｒｅｄ　开放５１４端口，以ｉｐｔａｂｌｅｓ为　Ｈａｔ　Ｌｉｎｕｘ系统的服务器（假设　例，对特定网段开放５１４端口：　其主机名为Ｉｏｇｈｏｓｔ），日志收　｜敲　啤ａ　Ｂｓ　遗　集软件采用ＬｉｎＵＸ平台上的　ｅｔｈＯ－ｐ　∞．ｓ　１９２．１６８：０　．、８一　Ｓｙｓｌｏｇ，Ｓｙｓｌｏｇ－－般都随Ｌｉｎｕｘ　￣ｐｏｒｔ５　４－－ｓｙｎ－ｊＡＣＣＥＰＴ　系统安装时已经安装，对于我　们部署整个系统提供了极大的　２．客户螭的部■　便利性，因此在此不对其安装　◆Ｌｉｎｕｘ平台下客户端的　步骤进行阐述，仅讲述其配置　部署　方法。　在Ｌｉｎｕｘ平台下依然选择　Ｓｙｓｌｏｇ既可作为客户端，　Ｓｙｓｌｏｇ作为客户端进行部署，　也可作为服务器端，并且支持　此时此配置文件为／ｅｔｃ／ｓｙｓｌｏｇ．　远程的日志收集。其配置文件　ｃｏｎｆ，其默认配置为（仅以／ｖａｒ／　，　２　６．１１００　ＯＰＥＮ　ＳＯｄＲＣＥ　ＷＯＲＬＤ　０Ｎ圳　６７ｌ１　　维普资讯 http://www.cqvip.com

经验　ｘｐｅｒＩｉ　ｃｅ＆ＳｋｅＩ１ｉｌｌｓ…攀　……………………………．．．　责编／何晓龙ｈｘｌ＠ｃｃｕ．ｃｏｍ．ｃｎ美编／庆琨　ｏｇ／ｍｅｓｓａｇｅ日志为例）：　置而非修改的方法，同时在　｜　｜　｜ｎａ　、ｐ　．　本地及日志主机上保存系统　喊ｃｆ帆ｍ融、ｅ｜ｔｖａｒ／ｌ￣　日志。　ｊ　ｎ甙｛　ｐｌ色　ｆ埘ｓ　ｌｌ侮灶　ｍｅｓ￣ｇｅｓ　鼻｜曩　◆Ｗｉｎｄｏｗｓ平台下客户端　ｅ￣ｓｙｓ一｜　薹　的部署　Ｉｖａ　ｒ／ＩＯｇ，ｍｅｓｓａｇｅ即　在ＷｉｎｄＯＷＳ平台下采用软　１　Ｓｙｓｌｏｇ存放系统日志的绝对路　件ｅｖｔｓｙｓ进行客户端的部署，　径，将此值替换为日志主机名　其下载链接为ｈ　ｔ　ｔ　Ｐ　Ｓ：，，　即可，示例如下：　ｅｎｇｉｎｅｅｒｉｎｇ．ｐｕｒｄｕｅ．ｅｄｕ／ＥＣＮ／　ｉｎｆｏ；ｍａｔＩ．ｎｏｎｅ；ａＵｔｈｐｄＶ：　Ｒｅｓｏｕｒｃｅｓ／Ｄｏｃｕｍｅｎｔｓ／ＵＮｌｘ，　ｎｏｎｅ：￣ｎｏｎｅ　ｅｖｔｓｙｓ，ｅＶｔｓｙｓ—ｅｘｅ．ｚｉｐ。解开　日志主机的自动日志　后得到两个文件：ｅｖｔｓｙｓ．ｅｘｔ和　分析与监控　依上述配置，当Ｓｙｓｌｏｇ重　ｅｖｔｓｙｓ．ｄｌｌ。　启使用配置生效后，客户端　将这两个文件放到Ｃ：　当整个系统部署好后，可　服务器的日志信息将会实时　＼ＷＩＮＤＯＷＳ￣ｓｙｓｔｅｍ３２目录下，　以从日志主机里验证各服务器　的传送到日志主机的，Ｖａ　ｒ，　在命令行状态下运行如下命令　是否将日志信息发送到了日志　ｌｏｇ／ｍｅｓｓａｇｅ文件里，对各服　进行安装：　主机上。以／ｖａｒ／Ｉｏｇ／ｍｅｓｓａｇｅ　务器的日志信息进行统一的　ｓｉ　ｙ　ｓ　ｅｍ　ｆ　ｏ　ｏ　ｔ％＼　为例，打开此文件，当看到具　管理。　ｓｙｓｔｅｍ　３２￣ｅｖｔｓｙｓ　｜－ｈ　有不同主机名字的日志信息标　使用如下命令重启Ｓｙｓｌｏｇ　Ｉｏｇｈ０ｓｔ｜　毫ｊ　ｉｌｉ薯　－　－｜　｜　志着日志主机已经正常工作，　服务使配置生效：　节选部分日志如下：　曩｜磐锵　、，　胄　。佝穹＆　Ｉ　当安装成功后，可查看服　｜　Ｓｅｐ　１　９　０８：３９　Ｂ　ｄｏｇ　务列表看到相应的信息，如图　ｃｒｏｎｄ（ｐａｍ＿ｕｎｉｘ）［４５２８］：ｓｅｓ－　依上述方法将其他系统日　１所示。　ｓｉｏｎ　ｏｐｅｎｅｄ　ｆｏｒ　ｕｓｅｒ　ｒｏｏｔ　志信息（￣ｒＪＩｖａｒｌｌｏｇｌｓｅｃｕｒｅ）导入　卸载ｅｖｔｓｙｓ的命令为：　（ｕｉｄ＝０）。　｜　。　到日志主机上。　％ｓｙｓｔｅｍｒｏｏｔ％￣ｙｓｔｅｍ３２＼　。　９０８：３９：３６　ｄｏｇ　ｃｒｏｎｄ　笔者建议，采　添弧配ｅｖｔｓｙｓ￣Ｕ　。薯　（ｐａｍ　ｕｎｉｘ）［４５２８］：ｓｅｓｓ．０ｎ　ｃｌｏｓｅｄ　ｆｏｒｕｓｅｒｒｏｏｔ　Ｓｅ餐Ｉ　９－０８：３９：４０　ｐａｎｄａ　ｃｒｏｎｄ（ｐｓ￣ｕｎｉｘ）［２０２９６］：｛婚ｓ＿　ｓｔｏｎ　ｏｐｅｎｅｄ　ｆｏｒ　ｕｓｅｒ　ｒｏｏｔ　ｂｙ　（ｕｉｄ＝０）　。　Ｓｅｐ，１　９　０８：３９：４０　ｐａｎｄａ　ｃｒｏｎｄ（ｐａｍ＿ｕｎｉｘ）［２０２９６］：ｓｅｓ－　ｓｉｏｎｃｌｏｓｅｄｆｏｒｕｓｅｒ　ｒｏｏｔ　－－｜　Ｓｅｐ　１９　０８：３９：５３　ａｐｐ　ｌａｓｔ　ｍｅｓｓａｇｅ　ｒｅ．ｔｅｄ８　ｔｉｍｅｓ　．．｜ｊ．．Ｓｅｐ１９０８：４０：１１　ａｐｐｌｅｎｅｔ－　图１　Ｗｉｎｄｏｗｓ客户端的配置　ｓｎｍｐ［６５７］：Ｃｏｎｎｅｃｔｉｏｎ　ｆｒｏｍ　６８抒敬系统｝｝｛：释　维普资讯 http://www.cqvip.com

开放系统世界　ｅｃｈｏ撑使得匹配的行通过　争　饕Ｉ　ｉｉ＂ａｄｄｒｅｓｓ＝ａｄｍｉｎ＼　ｐａｃｋｅｔ（ｓ）ｆｒｏｍ　ｕｄｐ：１５９．２２６．２．　１４４：４２９８　８　≮　Ｐｒｉｎｔ　ＮＯ　＠ｌｏｃａＩ．ｃｏｍ。ｓｕｂｊｅｃｔ＝Ｍｏｎｉｔｏｒ　Ｒａｎｇｅ　ｙｅｓｔｅｒｄａｙ　Ｄｅｔａｉｌ毒Ｈｉｇｈ　｜　■　ｓ　ｌ　ｌＲｅｓｕｌｔ拱向系统管理员发送监　测结果邮件，井设定相应的主　景蔑替｜　｜　ｊ　｜　Ｓｅｐ　１９　０８：４１■５　ｏｒａｎｇｅ　ｓｓｈｄ（ｐ￣ｕｎｔｘ）［２８３８９］：ｓｅｓ－　ｓ色　魄＿霉　壶　誊每　ｓｉｏｎ　ｏｐｅｎｅｄ　ｆｏｒ　ｕｓｅｒ　ｔｏｍ＝ｂｙ　（ｕｔｄ＝２００９）　＇。　簪　｜Ｓｅｐ　１９０８：４４：２８　ｏｒａｎ　９只　１ｔ９￣０８：４　２　Ｂ　ｓ　ｕ＂　（ｐａｍ＿ｕ　ｍＸ）［２８４２５］￣ｓｅｓｓｉｏｎ　ｏｐｅｎｅｄ　ｆｏＰ￣Ｊｓｅｒ－ｒｏｏｔ　ｂｙ　ｔｏｍ　ｕｉｄ＝２００９）　对于如此庞大的日志信　息，大部分并没多大的用处，　但在跟踪某一具体问题或者　安全漏洞时却可能很有用。那　么我们如何对其进行有效地分　析与监测，发挥其真正作用　呢？在此推荐两款比较常用　的日志分析与监控软件，对这　些日志信息进行自动地分析与　监控。　１．利用Ｌｏｇｗａｔｃｈ进行日志监控　在Ｌｉｎｕｘ系统中，已经默　认安装了ＬＯｇＷａｔＣｈ，配合　Ｓｅｎｄｍａ．１的邮件发送功能，　向系统管理员发送前一天的　日志分析结果邮件。其配置文　件为／ｅｔｃ／Ｉｏｇ．ｄ／Ｉｏｇｗａｔｃｈ．　ｃｏｎｆ，下面是省略注释后的配　置文件，一般只需将ＭａｉＩＴｏ　部分改为系统管理员邮箱地　址即可，更多的配置细节可参　考其官方网站为ｈｔｔｐ：／／ｗｗｗ．　Ｉｏｇｗａｔｃｈ．ｏｒｇ。　ｊｍａｌｌ　ａｄｄｒｅｓａｅｓ＝ａｄｍｉｎ￣　２．利用Ｓｗａｔｃｈ进行日志的实时　＠ｌｏｃａ１．ｃｏｍ，ｓｕｂｊｅｃｔ＝Ｍｏｎｉｔｏｒ　监控　Ｆ　ｌ。ｗｈｅ鳓８‘＇７襻向系　Ｓｗａｔｃｈ下载链接为ｈｔｔｐ：／／　统管理员发送监测结果邮件’　ＳＯＵ　ｒｃｅｆｏｒｇｅ．ｎｅｔ／ｐｒｏｊｅｃｔｓ／　并设定相应的主题及监控的时　ｓｗａｔｃｈ／。　间撑　要安装Ｓｗａｔｃｈ，需要先安　装两个ｐｅｒｌ模块包Ｄａｔｅ－Ｃａｌｃ一　使用“ｓｗａｔｃｈ—ｈｅｌｐ”查看　５．４．ｔａｒ．ｇｚ和ＴｉｍｅＤａｔｅ－１．１　６．　Ｓｗａｔｃｈ运行时的具体选项。下　ｔａｒ．ｇｚ　面是一个运行命令范例，仅供　接着安装Ｓｗａｔｃｈ，安装步　参考：　骤如下：　＃ｓ￣ｔｃｈ－－Ｃｏｎｆｉｇ－ｌｆｌｅ＝￣Ｌ　一　｜撇０ｂ　蝴球　岛ｌ２＾　钳ｔ　ｓｗａｔｃｈｒｃ茹镬Ｉ‘鼍ｌｍ｝ｒ　毒　嗡ｒ／ｌｏ￣　｜　｜｜ｊ　｜｜　ｍｅｓｓａｇｅｓ　｜＃￣Ｓｗａｔｃｔｔ－３ｉ２　＿　｜　ｊ｛　酾　鼬　孽　ｐ　当出现监控到的信息时，　＃ｍａｋｅ　一　’　＿　ｊ¨　＝Ｓｗａｔｃｈ即会实时地发送邮件　￣ｍｔｅｓｔ　｜　给系统管理员，及时杜绝人侵　。　棼ｍａ、晤　鸟笼ａ＼、　者的各种人侵尝试，保护系统　搬１　色　Ｂ｛　艄羲《憝…　的安全。　日志主机系统的建立，不　配置Ｓｗａｔｃｈ使其工作，需　但能够有效提高日志管理、分　建立配置文件－／．ｓｗａｔｃｈｒｃ，按　析及监测的效率，同时它也对　照其语法规则添加监测的相关　于日志信息的安全保护起到　内容，可使用“ｍａｎ　ｓｗａｔｃｈ”　了极为重要的作用，一方面它　命令查看具体配置内容及含　将各服务器的日志信息在日　义。下面是一个简单的范例，仅　志主机上进行备份，同时也能　供参考：　够有效防止人侵者删除日志　Ｗ　ａ弋　ｃ÷ｈ　ｂ　ｔ　毒ｌ　信息隐藏人侵痕迹，为系统管　Ｆａ，ｅｄｌＵＳｅｒａｄｄｌｔｎｖａ！ｉｄ／ｉ　饕采　理工作提供了极大的便利性，　用ｌ正蒯表达式的形撇监测　是有效保障系统安全的重要　哦内容｛｜　。　｜　｜　；ｔ　途径之一。　２Ｏｏ６　Ｏｐ基Ｎ　ＳＯＵＲＣＥ　ＷＯＲＬＤ々　Ｍ０Ｎ下ＨＬＹ　６９　１１