Syslog全析.pptVIP

Syslog简介 神州泰岳软件股份有限公司 * Unix/Linux的系统日志syslog Unix类操作系统提供了系统范围的日志服务支持syslog，Syslog是系统内部的“探针”，是负责记录大部分系統事件(event)的一个后台程序，记录包括核心、系統程许及使用者自行开发程序的运行情况及及所发生的事件。可以说，syslog是能够最精确、最可靠、最及时反映主机系统运行情况的机制和数据。 由于syslog的特点（实时、海量、复杂、重要）和处理的技术原因，Unix系统的syslog一直都没有有效的利用和发掘。 Unix/Linux的系统日志syslog Unix/Linux系统的分类 System V和BSD风格两种 目前的大多数商业系统是两者的混合体 Syslog的机制的思想和实现来源于BSD系统，后被System V所采用。 Syslog是Internet协议族的一员，RFC3164 使用UDP/514进行通讯 使用syslogd后台进程，syslogd启动时读配置文件/etc/syslog.conf 配置文件改变后要使其生效需要重新启动syslog Syslogd的内部机制，三种情况 Unix/Linux的系统日志syslog syslog.conf的每一行（#开头的为注释，将被忽略）由“选择符 动作”组成（selector action）。 syslog.conf的一般格式如下： facility.priority[; facility.priority] action 即：设施.优先级[;设施.优先级] 记录行为 设施和优先级的名字都是系统提供的标准名字 可以用*表示任何设施（句点前的*）或任何优先级（句点后的*） 指定一个优先级的意思为大于等于该优先级的日志消息 用none表示不包括任何优先级。 Linux对bsd的syslog做了一些扩展，引入了’=’和’!’。在任何一个优先级前用’=’，表示仅针对该优先级而不包括大于它的优先级。’!’表示求反，可以放在优先级或’=’前面（如果有的话），表示和原来相反的意思。 具有相同优先级的几个设施可以一起写在句点前面，用’,’分开。具有相同动作的多个选择符可以写在同一行的选择符域，各个选择符之间用’;’分开。 Unix/Linux的系统日志syslog Syslog反映Unix/Linux子系统8级信息分类：优先级对应的数字越低情况越严重 Unix/Linux的系统日志syslog syslog.conf 的选择符示例 local0.* local0的任何优先级的日志消息 *.crit 任何设施的优先级大于等于关键事件的日志消息 *.=crit 任何设施的关键事件日志消息 *.*；kern.none 除kern外的其他任何设施的任何日志消息 ；kern.!=err kern设施从info到warning之间的日志消息 syslog.conf 具体示例 Unix/Linux的系统日志syslog Syslogd提供了如下的记录动作 (action)。 文件名 　写入某个文件，注意文件名要带绝对路径。 命名管道（fifo）， |程序 通过管道转发给某个程序，程序文件名要带绝对路径。 /dev/console 发送到本地机器终端和控制台上 @hostname 或 @IP地址 转发给另外一台远程主机的syslogd程序 用户列表 * 发送到所有用户的终端上 Syslog反映的Unix/Linux事件举例… Unix/Linux系统内核产生的0-7级，以及相关的硬件问题 Unix/Linux网络部分产生的0-7级 Unix/Linux的安全模块部分，如iptable，access control Unix/Linux的高可用性部分产生的0-7级 Unix/Linux的“设备”及其设备驱动程序的0-7级 Unix/Linux的各类系统daemon产生的0-7级，如SNMP模块 Unix/Linux的系统服务模块，如WWW,DNS,MAIL…. Unix/Linux的第三方和应用系统，如tripwire, snort，checkpoint,…. Unix/Linux的系统管理过程中产生的syslog Unix/Linux的用户开发程序使用syslog API 产生的日志 Syslog反映的Unix/Linux事件举例… 安全方面，主机系统安全评估、主机管理、入侵跟踪和取证 主机和存储、高可用系统的故障诊断，分析，定位，长期跟踪系统的运行情况，将定期的主机系统健康检查，变成实时的跟踪和观察，并可以定制警报，在条件满足时通过多种方式通知系统管理员，无论管理员在哪里。 系统管理，如登陆、文件系统满、系统重新/意外启动、文件系统unmou