精华内容
下载资源
问答
  • linux 日志简介Logging is an interesting subject. For most developers, most of the time, we don’t think too hard about logging. Maybe we’ve got some coding standards that mandate some minimal level ...

    linux 日志简介

    Logging is an interesting subject. For most developers, most of the time, we don’t think too hard about logging. Maybe we’ve got some coding standards that mandate some minimal level of logging, but otherwise we’re just not concerned about how we log. But one day you’ll find yourself five hours into a marathon debugging session, throwing print statements in random places and thinking to yourself “If only I’d put in some logging here, I’d have some idea of what was going on in this system!”

    日志记录是一个有趣的主题。 对于大多数开发人员而言,在大多数情况下,我们对日志记录的考虑并不为过硬。 也许我们有一些编码标准要求一些最低级别的日志记录,但是除此之外,我们只是不关心日志记录的方式。 但是有一天,您会发现自己参加了一次马拉松调试会话,花了五个小时,将print语句扔在随机的地方,然后对自己进行思考:“如果我在此处进行一些日志记录,我将会对正在发生的事情有所了解这个系统!”

    So you turn to the Python logging, open the docs and recoil in horror. All you want to do is log things! What’s this nonsense about loggers, and handlers, and LogRecords?

    因此,您转到Python logging ,打开文档并惊恐地退缩。 您要做的就是记录日志! 关于记录器,处理程序和LogRecords的废话是什么?

    It’s OK, I’m here to help.

    可以,我在这里为您提供帮助。

    我的建议? 忽略一切。 (My Advice? Ignore It All.)

    The logging module is incredibly powerful, but as a result it’s also incredibly complicated. The reality is, most of us will never need to touch its complexity.

    logging模块功能强大,但结果也非常复杂。 现实情况是,我们大多数人都将不需要去解决它的复杂性。

    Here’s my promise. The following lines of code will solve 95% of your logging problems.

    这是我的诺言。 以下代码行将解决95%的日志记录问题

    图书馆 (Libraries)

    When you’re writing a library and you want it to log, here’s what you do. Find your top-level __init__.py file and add the following two lines to it:

    当您编写库并希望其记录时,这就是您要做的。 找到您的顶级__init__.py文件,并在其中添加以下两行:

    import import logging
    logging
    logginglogging .. getLoggergetLogger (( __name____name__ )) .. addHandleraddHandler (( logginglogging .. NullHandlerNullHandler ())())

    This essentially enables the default logging behaviour: do nothing.

    这实质上启用了默认的日志记录行为:不执行任何操作。

    Then, in each file where you want to emit logs, add this line at the top:

    然后,在要发出日志的每个文件中,在顶部添加以下行:

    That’s it, you’re done. Seriously. To log, you now just call the logging methods: log.debug(), log.info(), log.warning(), log.error() and log.critical(), depending on the severity of log you want.

    就是这样,您完成了。 说真的 要进行日志记录,现在只需调用日志记录方法: log.debug()log.info()log.warning()log.error()log.critical() ,具体取决于所需日志的严重性。

    应用程序和可执行文件 (Applications and Executables)

    What if you’re an application developer, or you’re writing the top-level script? You know your libraries are logging, and you are too, but how do you turn it on? Easy:

    如果您是应用程序开发人员,或者正在编写顶级脚本,该怎么办? 您知道您的库正在记录日志,您也正在记录日志,但是如何打开它呢? 简单:

    import import logging
    logging
    logginglogging .. basicConfigbasicConfig ()()

    That’s it. Done. You’ll now get your default logging to stderr. Want to put it somewhere else, or log at a different level? Here are the docs. Some highlights are logging at a specific level (logging.basicConfig(level=logging.DEBUG)) and logging to file (logging.basicConfig(filename='myapp.log')).

    而已。 做完了 现在,您将默认日志记录到stderr 。 想要将其放置在其他位置还是以其他级别登录? 这是文档 。 一些亮点是在特定级别进行日志记录( logging.basicConfig(level=logging.DEBUG) )并记录到文件( logging.basicConfig(filename='myapp.log') )。

    That’s it.

    而已。

    指导方针 (Guidelines)

    Remember, never use the root logger. Always call .debug() and friends on a logger you got by calling logging.getLogger(__name__).

    请记住,切勿使用root记录器。 始终在通过调用logging.getLogger(__name__)获得的记录器上调用.debug()和朋友。

    Otherwise, there’s really nothing else. If you need anything else in the logging library, you probably already understand it.

    否则,真的没有别的了。 如果您在日志记录库中需要其他任何内容,则可能已经了解了。

    See? Logging is easy.

    看到? 记录很容易。

    翻译自: https://www.pybloggers.com/2014/05/a-brief-digression-about-logging/

    linux 日志简介

    展开全文
  • 如何分析 Linux 日志

    2020-04-13 11:51:46
    转载自品略图书馆http://www.pinlue.com/article/2020/04/1003/1810139750944.html 日志中有大量的信息需要你处理,尽管有时候想要提取并非想象中的容易。在这篇文章中我们会介绍一些你现在就能做的基本日志分析...

    转载自品略图书馆 http://www.pinlue.com/article/2020/04/1003/1810139750944.html

     

    日志中有大量的信息需要你处理,尽管有时候想要提取并非想象中的容易。在这篇文章中我们会介绍一些你现在就能做的基本日志分析例子(只需要搜索即可)。我们还将涉及一些更高级的分析,但这些需要你前期努力做出适当的设置,后期就能节省很多时间。对数据进行高级分析的例子包括生成汇总计数、对有效值进行过滤,等等。

    我们首先会向你展示如何在命令行中使用多个不同的工具,然后展示了一个日志管理工具如何能自动完成大部分繁重工作从而使得日志分析变得简单。

    用 Grep 搜索

    搜索文本是查找信息最基本的方式。搜索文本最常用的工具是 grep。这个命令行工具在大部分 Linux 发行版中都有,它允许你用正则表达式搜索日志。正则表达式是一种用特殊的语言写的、能识别匹配文本的模式。最简单的模式就是用引号把你想要查找的字符串括起来。

    正则表达式

    这是一个在 Ubuntu 系统的认证日志中查找 “user hoover” 的例子:

    $ grep "user hoover" /var/log/auth.logAccepted password for hoover from 10.0.2.2 port 4792 ssh2pam_unix(sshd:session): session opened for user hoover by (uid=0)pam_unix(sshd:session): session closed for user hoover

    构建精确的正则表达式可能很难。例如,如果我们想要搜索一个类似端口 “4792” 的数字,它可能也会匹配时间戳、URL 以及其它不需要的数据。Ubuntu 中下面的例子,它匹配了一个我们不想要的 Apache 日志。

    $ grep "4792" /var/log/auth.logAccepted password for hoover from 10.0.2.2 port 4792 ssh274.91.21.46 - - [31/Mar/2015:19:44:32 +0000] "GET /scripts/samples/search?q=4972 HTTP/1.0" 404 545 "-" "-”

    环绕搜索

    另一个有用的小技巧是你可以用 grep 做环绕搜索。这会向你展示一个匹配前面或后面几行是什么。它能帮助你调试导致错误或问题的东西。B选项展示前面几行,A选项展示后面几行。举个例子,我们知道当一个人以管理员员身份登录失败时,同时他们的 IP 也没有反向解析,也就意味着他们可能没有有效的域名。这非常可疑!

    $ grep -B 3 -A 2 "Invalid user" /var/log/auth.logApr 28 17:06:20 ip-172-31-11-241 sshd[12545]: reverse mapping checking getaddrinfo for 216-19-2-8.commspeed.net [216.19.2.8] failed - POSSIBLE BREAK-IN ATTEMPT!Apr 28 17:06:20 ip-172-31-11-241 sshd[12545]: Received disconnect from 216.19.2.8: 11: Bye Bye [preauth]Apr 28 17:06:20 ip-172-31-11-241 sshd[12547]: Invalid user admin from 216.19.2.8Apr 28 17:06:20 ip-172-31-11-241 sshd[12547]: input_userauth_request: invalid user admin [preauth]Apr 28 17:06:20 ip-172-31-11-241 sshd[12547]: Received disconnect from 216.19.2.8: 11: Bye Bye [preauth]

    Tail

    你也可以把 grep 和 tail结合使用来获取一个文件的最后几行,或者跟踪日志并实时打印。这在你做交互式更改的时候非常有用,例如启动服务器或者测试代码更改。

    $ tail -f /var/log/auth.log | grep "Invalid user"Apr 30 19:49:48 ip-172-31-11-241 sshd[6512]: Invalid user ubnt from 219.140.64.136Apr 30 19:49:49 ip-172-31-11-241 sshd[6514]: Invalid user admin from 219.140.64.136

    关于 grep 和正则表达式的详细介绍并不在本指南的范围,但 Ryan’s Tutorials有更深入的介绍。

    日志管理系统有更高的性能和更强大的搜索能力。它们通常会索引数据并进行并行查询,因此你可以很快的在几秒内就能搜索 GB 或 TB 的日志。相比之下,grep 就需要几分钟,在极端情况下可能甚至几小时。日志管理系统也使用类似 Lucene的查询语言,它提供更简单的语法来检索数字、域以及其它。

    用 Cut、 AWK、 和 Grok 解析

    命令行工具

    Linux 提供了多个命令行工具用于文本解析和分析。当你想要快速解析少量数据时非常有用,但处理大量数据时可能需要很长时间。

    Cut

    cut命令允许你从有分隔符的日志解析字段。分隔符是指能分开字段或键值对的等号或逗号等。

    假设我们想从下面的日志中解析出用户:

    pam_unix(su:auth): authentication failure; logname=hoover uid=1000 euid=0 tty=/dev/pts/0 ruser=hoover rhost= user=root

    我们可以像下面这样用 cut 命令获取用等号分割后的第八个字段的文本。这是一个 Ubuntu 系统上的例子:

    $ grep "authentication failure" /var/log/auth.log | cut -d "=" -f 8roothooverrootnagiosnagios

    AWK

    另外,你也可以使用 awk,它能提供更强大的解析字段功能。它提供了一个脚本语言,你可以过滤出几乎任何不相干的东西。

    例如,假设在 Ubuntu 系统中我们有下面的一行日志,我们想要提取登录失败的用户名称:

    Mar 24 08:28:18 ip-172-31-11-241 sshd[32701]: input_userauth_request: invalid user guest [preauth]

    你可以像下面这样使用 awk 命令。首先,用一个正则表达式 /sshd.*invalid user/ 来匹配 sshd invalid user 行。然后用 { print $9 } 根据默认的分隔符空格打印第九个字段。这样就输出了用户名。

    $ awk "/sshd.*invalid user/ { print $9 }" /var/log/auth.logguestadmininfotestubnt

    你可以在 Awk 用户指南中阅读更多关于如何使用正则表达式和输出字段的信息。

    日志管理系统

    日志管理系统使得解析变得更加简单,使用户能快速的分析很多的日志文件。他们能自动解析标准的日志格式,比如常见的 Linux 日志和 Web 服务器日志。这能节省很多时间,因为当处理系统问题的时候你不需要考虑自己写解析逻辑。

    下面是一个 sshd 日志消息的例子,解析出了每个 remoteHost 和 user。这是 Loggly 中的一张截图,它是一个基于云的日志管理服务。

    你也可以对非标准格式自定义解析。一个常用的工具是 Grok,它用一个常见正则表达式库,可以解析原始文本为结构化 JSON。下面是一个 Grok 在 Logstash 中解析内核日志文件的事例配置:

    filter{ grok { match => {"message" => "%{CISCOTIMESTAMP:timestamp} %{HOST:host} %{WORD:program}%{NOTSPACE} %{NOTSPACE}%{NUMBER:duration}%{NOTSPACE} %{GREEDYDATA:kernel_logs}" }}

    下图是 Grok 解析后输出的结果:

    用 Rsyslog 和 AWK 过滤

    过滤使得你能检索一个特定的字段值而不是进行全文检索。这使你的日志分析更加准确,因为它会忽略来自其它部分日志信息不需要的匹配。为了对一个字段值进行搜索,你首先需要解析日志或者至少有对事件结构进行检索的方式。

    如何对应用进行过滤

    通常,你可能只想看一个应用的日志。如果你的应用把记录都保存到一个文件中就会很容易。如果你需要在一个聚集或集中式日志中过滤一个应用就会比较复杂。下面有几种方法来实现:

    用 rsyslog 守护进程解析和过滤日志。下面的例子将 sshd 应用的日志写入一个名为 sshd-message 的文件,然后丢弃事件以便它不会在其它地方重复出现。你可以将它添加到你的 rsyslog.conf 文件中测试这个例子。

    :programname, isequal, “sshd” /var/log/sshd-messages&~

    用类似 awk 的命令行工具提取特定字段的值,例如 sshd 用户名。下面是 Ubuntu 系统中的一个例子。

    $ awk "/sshd.*invalid user/ { print $9 }" /var/log/auth.logguestadmininfotestubnt

    用日志管理系统自动解析日志,然后在需要的应用名称上点击过滤。下面是在 Loggly 日志管理服务中提取 syslog 域的截图。我们对应用名称 “sshd” 进行过滤,如维恩图图标所示。

    如何过滤错误

    一个人最希望看到日志中的错误。不幸的是,默认的 syslog 配置不直接输出错误的严重性,也就使得难以过滤它们。

    这里有两个解决该问题的方法。首先,你可以修改你的 rsyslog 配置,在日志文件中输出错误的严重性,使得便于查看和检索。在你的 rsyslog 配置中你可以用 pri-text 添加一个 模板,像下面这样:

    "<%pri-text%> : %timegenerated%,%HOSTNAME%,%syslogtag%,%msg%n"

    这个例子会按照下面的格式输出。你可以看到该信息中指示错误的 err。

    <authpriv.err> : Mar 11 18:18:00,hoover-VirtualBox,su[5026]:, pam_authenticate: Authentication failure

    你可以用 awk 或者 grep 检索错误信息。在 Ubuntu 中,对这个例子,我们可以用一些语法特征,例如 . 和 >,它们只会匹配这个域。

    $ grep ".err>" /var/log/auth.log<authpriv.err> : Mar 11 18:18:00,hoover-VirtualBox,su[5026]:, pam_authenticate: Authentication failure

    你的第二个选择是使用日志管理系统。好的日志管理系统能自动解析 syslog 消息并抽取错误域。它们也允许你用简单的点击过滤日志消息中的特定错误。

     

    展开全文
  • linux日志文件系统

    2010-04-28 22:07:36
    linux日志linux日志文件系统件系统
  • Linux网络日志分析与流量监控。用于进行日志分析的书籍
  • Linux日志分析的实战专题

    千次阅读 2007-09-16 20:48:00
    作者:刘志勇 郭聪辉日志也是用户应该注意的地方之一。不要低估日志文件对网络安全的重要作用,因为日志文件能够...配置好的Linux日志非常强大。对于Linux系统而言,所有的日志文件都在/var/log下。默认情况下,Linux

     

    作者:刘志勇 郭聪辉

    日志也是用户应该注意的地方之一。不要低估日志文件对网络安全的重要作用,因为日志文件能够详细记录系统每天发生的各种各样的事件。用户可以通过日志文件检查错误产生的原因,或者在受到攻击和黑客入侵时追踪攻击者的踪迹。日志的两个比较重要的作用是:审核和监测。配置好的Linux的日志非常强大。对于Linux系统而言,所有的日志文件都在/var/log下。默认情况下,Linux的日志文件已经足够强大,但没有记录FTP的活动。用户可以通过修改/etc/ftpacess让系统记录FTP的一切活动。

        Linux日志系统简介:日志对于系统的安全来说非常重要,它记录了系统每天发生的各种各样的事情,用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。日志主要的功能是审计和监测。它还可以实时地监测系统状态,监测和追踪侵入者。Linux系统一般有3个主要的日志子系统:连接时间日志、进程统计日志和错误日志。

        RedHat Linux常见的日志文件和常用命令:成功地管理任何系统的关键之一,是要知道系统中正在发生什么事。Linux 中提供了异常日志,并且日志的细节是可配置的。Linux 日志都以明文形式存储,所以用户不需要特殊的工具就可以搜索和阅读它们。还可以编写脚本,来扫描这些日志,并基于它们的内容去自动执行某些功能。Linux 日志存储在 /var/log 目录中。这里有几个由系统维护的日志文件,但其他服务和程序也可能会把它们的日志放在这里。大多数日志只有root账户才可以读,不过修改文件的访问权限就可以让其他人可读。

        配置Linux日志文件:日志也应该是用户注意的地方。不要低估日志文件对网络安全的重要作用,因为日志文件能够详细记录系统每天发生的各种各样的事件,用户可以通过日志文件检查错误产生的原因,或者在受到攻击、被入侵时追踪攻击者的踪迹。日志的两个比较重要的作用是审核和监测。配置好的Linux的日志非常强大。对于Linux系统而言,所有的日志文件在/var/log下。默认情况下,Linux的日志文件已经足够强大,但没有记录FTP的活动。用户可以通过修改/etc/ftpacess让系统记录FTP的一切活动。

        管理Linux日志文件工具:logrotate简介:如果服务器有大量的用户的话,这些日志文件的大小会很快地增加,在服务器硬盘不是非常充足的情况下,必须采取措施防止日志文件将硬盘撑爆。现代的Linux版本都有一个小程序,名为logrotate,用来帮助用户管理日志文件,它以自己的守护进程工作。logrotate周期性地旋转日志文件,可以周期性地把每个日志文件重命名成一个备份名字,然后让它的守护进程开始使用一个日志文件的新的拷贝。这就是为什么在/var/log/下看到许多诸如maillog、maillog.1、maillog.2、boot.log.1、boot.log.2之类的文件名。它由一个配置文件驱动,该文件是/etc/logroatate.conf

        Linux下常用日志分析工具:Logcheck简介:对于拥有大量账户、系统繁忙的Linux系统而言,其日志文件是极其庞大的,很多没有用的信息会将值得注意的信息淹没,给用户分析日志带来了很大的不便。现在有一些专门用于分析日志的工具,如Logcheck和Friends。Logcheck用来分析庞大的日志文件,过滤出有潜在安全风险或其他不正常情况的日志项目,然后以电子邮件的形式通知指定的用户。它是由Psionic开发的(T113)

    本文选自飞思图书《网络服务器安全配置详解》

     
    展开全文
  • 《Unix/Linux日志分析与流量监控》书稿完成近日,历时3年创作的75万字书稿已完成,本书紧紧围绕网络安全的主题,对各种Unix/Linux系统及网络服务日志进行了全面系统的讲解,从系统的原始日志(RawLog)采集与分析讲...

    《Unix/Linux日志分析与流量监控》书稿完成

    近日,历时3年创作的75万字书稿已完成,本书紧紧围绕网络安全的主题,对各种Unix/Linux系统及网络服务日志进行了全面系统的讲解,从系统的原始日志(RawLog)采集与分析讲起,逐步深入到日志审计与取证环节,在本书提供多个案例,每个案例都以一种生动的记事手法讲述了网络遭到入侵之后,管理人员开展系统取证和恢复的过程,采用带有故事情节的案例分析手法,使读者身临其境的检验自己的应急响应和计算机取证能力。本书以运维工程师的视角,通过各种日志,脚本程序等信息来处理各种系统和网络故障,重在给读者传递一种解决问题的思路和方法,并展示一些开源安全工具的使用和部署,向广大IT从业者传递了一种积极向上的正能量。

    本书特色


    本书以Unix/Linux为主要平台,以开源软件为主要分析工具,企业网安全运维为大背景,其所选取案例覆盖了如今网络应用中典型的攻击类型,例如DDOS、恶意代码、Web应用攻击、无线网攻击及SQL注入攻击等内容,每个故事首先描述了一起安全事件的所有证据和取证信息(包括日志文件、拓扑图和设备配置文件)提出了一些问题引导读者自己分析入侵的原因,最后深入案例分析,用详细的证据来透彻解释入侵过程的来龙去脉,在每个案例最后提出了正对这类情况的防范手段和补救措施。本书最大亮点就是告诉大家如何使用Ossim开源系统来解决深入挖掘网络安全问题。


    本书用精选了二十多个完整案例(星级越高难度越大)分析为广大读者分享的都是实实在在的干货,它对于提高网络维护水平和事件分析能力有着很大的参考价值,如果你关注网络安全,那么书中的案例一定会引起你的共鸣。本书适合有一定经验的网络工程师、系统管理员和信息安全人员参考。此前,已出版的畅销书《Linux企业应用案例精解》(这本书在2014年春就出第二版啦)就是日志案例分析的姊妹篇,这本书中对企业最关心的Unix/Linux系统及网络全问题进行了更为深层次、多角度的阐释,本书分享了作者10年来运维Unix/Linux系统的苦与乐,全书三层次章节如下:

    第一篇日志分析基础


    第1章网络日志获取与分析13
    1.1网络环境日志分类14
    1.1.1UNIX/Linux系统日志14
    1.1.2Windows日志15
    1.2.3Windows系统日志16
    1.1.4网络设备日志16
    1.1.5应用系统的日志17
    1.2Web日志分析17
    1.2.1访问日志记录过程17
    1.2.2Apache访问日志作用18
    1.2.3访问日志的位置18
    1.2.4访问日志格式分析18
    1.2.5HTTP返回状态代码19
    1.2.6记录Apache虚拟机日志19
    1.2.7Web日志统计举例20
    1.2.6Apache错误日志分析21
    1.2.7日志轮询23
    1.2.8清空日志的技巧24
    1.2.9其他Linux平台Apache日志位置25
    1.2.10Nginx日志25
    1.2.11Tomcat日志25
    1.2.12常用Apache日志分析工具26
    1.3FTP服务器日志解析27
    1.3.1分析vsftpd.log和xferlog28
    1.3.2中文对Vsftp日志的影响29
    1.3.2用Logparser分析FTP日志30
    1.4用LogParser分析Windows系统日志32
    1.4.1LogParser概述32
    1.4.2LogParser结构32
    1.4.3安装LogParser33
    1.4.4LogParser应用案例33
    1.4.5图形化分析输出36
    1.5Squid服务日志分析37
    1.5.1Squid日志分类37
    1.5.2典型Squid访问日志分析37
    1.5.3Squid时间戳转换38
    1.5.4Squid日志位置:39
    1.5.5图形化日志分析工具40
    1.5.6其他UNIX/Linux平台的Squid位置40
    1.6NFS服务日志分析41
    1.6.1Linux下的NFS日志41
    1.6.2Solaris下NFS服务器日志41
    1.7IPtables日志分析44
    1.7.1对LOG日志格式的问题:45
    1.8Samba日志审计47
    1.8.1Samba默认提供的日志48
    1.8.2Samba审计49
    1.9DNS日志分析50
    1.9.1DNS日志的位置50
    1.9.2DNS日志的级别50
    1.9.3DNS查询请求日志实例解释50
    1.9.4DNS分析工具-DNStop51
    1.10DHCP服务器日志52
    1.11邮件服务器日志53
    1.11.1Sendmail53
    1.11.2Postfix54
    1.12Linux下双机系统日志54
    1.12.1Heartbeat的日志54
    1.12.2备用节点上的日志信息55
    1.12.3日志分割56
    1.13其他UNIX系统日志分析GUI工具56
    1.13.1用SMC分析系统日志56
    1.13.2MacOSX的GUI日志查询工具57
    1.14死机日志汇总分析
    1.15可视化日志分析工具58
    1.15.1.彩色日志工具:CCZE59
    1.15.2动态日志查看工具:Logstalgia59
    1.15.3三维日志显示工具:Gource60
    1.15.4用AWStats监控网站流量61
    第2章UNIX/Linux系统取证65
    2.1常见IP追踪方法65
    2.1.1IP追踪工具和技术65
    2.1.2DoS/DDoS攻击源追踪思路67
    2.2重要信息收集69
    2.2.1收集正在运行的进程69
    2.2.2收集/proc系统中的信息72
    2.2.3UNIX文件存储与删除73
    2.2.4硬盘证据的收集方法73
    2.2.5从映像的文件系统上收集证据75
    2.2.6用Ddrescue恢复数据77
    2.2.7查看详细信息78
    2.2.8收集隐藏目录和文件78
    2.2.9检查可执行文件80
    2.3常用搜索工具80
    2.3.1特殊文件处理80
    2.3.2TheCoroner’sToolkit(TCT工具箱)81
    2.3.3Forensix工具集81
    2.4集成取证工具箱介绍82
    2.4.1用光盘系统取证82
    2.4.2屏幕录制取证方法83
    2.5案例研究一:闪现SegmentationFault为哪般?83
    难度系数:★★★83
    事件背景84
    互动问答87
    疑难解析87
    预防措施:89
    2.6案例研究二:谁动了我的胶片90
    难度系数:★★★★★90
    事件背景90
    取证分析92
    互动问答94
    疑点分析95
    疑难解析96
    预防措施99
    第3章建立日志分析系统100
    3.1日志采集基础100
    3.1.1SYSLOG协议100
    3.1.2Syslog日志记录的事件102
    3.1.3Syslog.conf配置文件详解103
    3.1.4Syslog操作105
    3.1.5Syslog的安全漏洞105
    3.1.6Rsyslog106
    3.1.7Syslog-ng107
    3.2时间同步107
    3.2.1基本概念107
    3.2.2识别日志中伪造的时间信息108
    3.2.3同步方法108
    3.3网络设备日志分析与举例108
    3.3.1路由器日志分析109
    3.3.2交换机日志分析110
    3.3.3防火墙日志分析110
    3.3.4通过日志发现ARP病毒112
    3.4选择日志管理系统的十大问题116
    3.5利用日志管理工具更轻松120
    3.5.1日志主机系统的部署120
    3.5.2日志分析与监控122
    3.5.3利用EventlogAnalyzer分析网络日志122
    3.5.4.分析防火墙日志125
    3.6用Sawmill搭建日志平台126
    3.6.1系统简介126
    3.6.2部署注意事项:127
    3.6.3安装举例:127
    3.6.4监测网络入侵129
    3.7使用Splunk分析日志130
    3.7.1Splunk简介130
    3.7.2Splunk安装:131
    3.7.3设置自动运行131
    3.7.4系统配置132
    3.7.5设置日志分析目录133


    第二篇日志实战案例分析

    第4章DNS系统故障分析140
    4.1案例研究三:邂逅DNS故障140
    难度系数:★★★★140
    事件背景140
    互动问答143
    取证分析144
    问题解答146
    预防措施147
    4.2DNS漏洞扫描方法148
    4.2.1DNS扫描的关键技术149
    4.2.2检查工具:149
    4.3DNSFloodDetector让DNS更安全150
    4.3.1Linux下DNS面临的威胁151
    4.3.2BIND漏洞151
    4.3.3DNS管理152
    4.3.4应对DNSFlood攻击152
    4.3.5DNSFloodDetector保安全153
    第5章DOS攻击防御分析155
    5.1案例研究四:网站遭遇DOS攻击155
    难度系数:★★★155
    事件背景155
    针对措施159
    疑难解答161
    案例总结162
    5.2案例研究五:“太囧”防火墙164
    难度系数:★★★★164
    事件背景164
    互动问答166
    调查分析166
    答疑解惑168
    第6章UNIX后门与溢出案例分析168
    6.1如何防范RootKit攻击169
    6.1.1认识RootKit169
    6.1.2RootKit的类型169
    6.2防范RootKit的工具171
    6.2.1使用chkrootkit工具171
    6.2.2RootKitHunt工具173
    6.3安装LIDS173
    6.3.1LIDS的主要功能173
    6.3.2配置LIDS174
    6.3.3使用Lidsadm工具175
    6.3.4使用LIDS来保护系统177
    6.4安装与配置AIDE178
    6.4.1Solaris安装AIDE178
    6.4.2用Aide加固Ossim平台179
    6.4.3Tripwire181
    6.5Nabou安装与配置182
    6.5.1Nabou的功能及原理182
    6.5.2创建一对RSA密钥182
    6.5.3初始化数据库183
    6.5.4启用LIDS183
    6.5.5Nabou的数据库维护183
    6.5.6Nabou的应用实例185
    6.5.7Nabou的适用场合186
    6.6案例研究六:Solaris异常后门187
    难度系数:★★★★★187
    入侵背景187
    预防措施193
    6.7案例研究七:遭遇溢出攻击195
    难度系数:★★★★★195
    事件背景195
    分析日志195
    案例解码200
    预防措施202
    6.8案例研究八:真假Root账号203
    难度系数:★★★★203
    事件背景203
    取证分析206
    互动问答:207
    问题解答:208
    预防措施209
    6.9案例研究九:为RootKit把脉209
    难度系数:★★★★★209
    事件背景209
    互动问答214
    事件分析:214
    预防措施216
    第7章UNIX系统防范案例217
    7.1案例研究十:当网页遭遇篡改之后217
    难度系数:★★★★217
    事件背景218
    互动问答219
    入侵事件剖析219
    疑难解答221
    防护措施222
    Web漏洞扫描工具——Nikto223
    7.2案例十一UNIX下捉虫记225
    难度系数:★★★★★225
    事件背景225
    取证分析226
    互动问答228
    入侵解析229
    预防措施233
    7.3案例研究十二:泄露的裁员名单234
    难度系数:★★★★234
    事件背景234
    取证分析235
    互动问答236
    答疑解惑237
    预防措施238
    第8章SQL注入防护案例分析239
    8.1案例十三:后台数据库遭遇SQL注入239
    难度系数:★★★★239
    案例背景:239
    分析过程242
    预防与补救措施244
    8.2案例研究十四:大意的程序员之-SQL注入244
    难度系数:★★★★244
    事件背景244
    互动问答246
    分析取证246
    答疑解惑247
    预防措施251
    8.3利用OSSIM监测SQL注入251
    8.3.2用Ossim检测SQl注入252
    Ossim系统中的Snort规则254
    8.4LAMP网站的SQL注入预防255
    8.4.1服务器端的安全配置255
    8.4.2PHP代码的安全配置255
    8.4.3PHP代码的安全编写256
    8.5通过日志检测预防SQL注入256
    8.5.1通过WEB访问日志发现SQL攻击257
    8.5.2用VisualLogParser分析日志257
    第9章远程连接安全案例259
    9.1案例十五:修补SSH服务器259
    难度系数:★★★259
    事件背景259
    加固SSH服务器262
    通过Ossim实现SSH登录失败告警功能265
    预防措施267
    9.2案例研究十六:无辜的“跳板”268
    事件背景268
    预防措施272
    第10章Snort系统部署及应用案例273
    10.1Snort系统原理273
    10.2Snort安装与维护273
    10.1.1准备工作273
    10.1.2深入了解Snort274
    10.1.3安装Snort程序276
    10.1.4维护Snort278
    10.1.5Snort的不足280
    10.2Snort日志分析280
    10.2.1基于文本的格式281
    10.2.2典型攻击日志信息282
    10.2.2Snort探针部署282
    10.2.3日志分析工具283
    10.3Snort规则分析283
    10.3.1Snort规则283
    10.3.2编写SNORT规则284
    10.4基于Ossim平台的WIDS系统287
    10.4.1安装无线网卡288
    10.4.2设置Ossim无线传感器290
    10.5案例研究十七:IDS系统遭遇IP碎片攻击293
    难度系数:★★★★293
    事件背景293
    疑难问题301
    互动问答:301
    10.5.1防范与处理思路301
    10.5.2nort+Iptables联动302
    10.5.3IP碎片攻击的预防303
    10.5.4评估NIDS工具303
    10.5.5IDS系统与网络嗅探器的区别304
    10.6案例十八:智取不速之客305
    难度系数:★★★★305
    事件背景305
    互动问答307
    取证分析307
    疑难解答310
    预防措施311
    第11章WLAN案例分析311
    11.1WLAN安全漏洞与威胁312
    11.2案例研究十九:无线网遭受的攻击313
    难度系数:★★★★313
    事件背景313
    互动问答315
    疑点解析317
    预防措施318
    11.2.2有关WIFI上网日志的收集318
    11.2.3用开源NAC阻止非法网络访问318
    11.2.4企业中BYOD的隐患320
    11.3案例研究二十:无线会场的“不速之客”321
    难度系数:★★★★321
    事件背景:321
    取证分析324
    第12章数据加密与解密案例327
    12.1GPG概述327
    12.1.1创建密钥327
    12.1.2导入密钥328
    12.1.3加密和解密328
    12.1.4签订和验证329
    12.2案例研究二十一:“神秘”的加密指纹330
    难度系数:★★★330
    事件背景330
    疑难问题333
    案情解码333
    分析攻击过程337
    答疑解惑337
    预防措施338


    第三篇网络流量与日志监控

    第13章网络流量监控338
    13.1网络监听关键技术339
    13.1.1网络监听339
    13.1.2SNMP协议的不足339
    13.1.3监听关键技术339
    13.1.4NetFlow与sFlow的区别340
    13.1.5协议和应用识别340
    13.1.6网络数据流采集技术340
    13.1.7SPAN的局限性341
    13.2用Netflow分析网络异常流量341
    13.2.1Netflow的Cache管理342
    13.2.2NetFlow的输出格式342
    13.2.3NetFlow的抽样机制342
    13.2.4NetFlow的性能影响343
    13.2.5NetFlow在蠕虫病毒监测上的应用343
    13.3VMwareESXi服务器监控347
    13.4应层数据包解码351
    13.4.1概述351
    13.4.2系统架构351
    13.4.3Xplico的数据获取方法352
    13.4.4Xplico部署352
    13.4.5应用Xplico353
    13.5.网络嗅探器的检测及预防358
    13.5.1嗅探器的检测358
    13.5.2网络嗅探的预防359
    第14章OSSIM综合应用360
    14.1OSSIM的产生360
    14.1.1概况360
    14.1.2从SIM到OSSIM361
    14.1.3安全信息和事件管理(SIEM)362
    14.2Ossim架构与原理363
    14.2.1Ossim架构363
    14.2.2Agent事件类型368
    14.2.3RRD绘图引擎370
    14.2.4OSSIM工作流程分析371
    14.3部署OSSIM371
    14.3.1准备工作:371
    14.3.2Ossim服务器的选择373
    14.3.3分布式Ossim系统探针布局374
    14.3.4Ossim系统安装步骤:374
    14.4Ossim安装后续工作379
    14.4.1时间同步问题379
    14.4.2系统升级380
    14.4.3防火墙设置381
    14.4.4访问数据库381
    14.4.5同步Openvas插件384
    14.4.6安装远程管理工具385
    14.4.7安装X-window386
    14.5使用Ossim系统387
    14.5.1熟悉主界面387
    14.5.2SIEM事件控制台389
    14.6风险评估方法392
    Ossim系统风险度量方法393
    14.7Ossim关联分析技术394
    14.7.1关联分析394
    14.7.2Ossim的通用关联检测规则395
    14.8OSSIM日志管理平台398
    14.8.1Ossim日志处理流程398
    14.8.2Snare398
    14.8.3通过WMI收集Windows日志399
    14.8.4配置Ossim399
    14.8.5Snare与WMI的区别401
    14.9应用Ossim系统的IDS401
    14.9.1HIDS/NIDS401
    14.9.2OSSECHIDSAgent安装402
    14.10Ossim流量监控工具应用413
    14.10.1流量过滤413
    14.10.3流量分析415
    14.10.4网络天气图417
    14.10.5设置Netflow418
    14.10.6Nagios监视419
    14.10.7与第三方监控软件集成421
    14.11检测Shellcode攻击
    14.12Ossim应用资产管理422
    14.12.1OCSInventoryNG架构422
    14.12.2OCS使用423
    14.13Ossim在蠕虫预防中的应用423
    14.14监测Shellcode426
    14.15漏洞扫描应用427
    14.15.1漏洞评估方法427
    14.15.2漏洞库详解428
    14.16采用Openvas扫描429
    14.16.1分布式漏洞扫描430
    14.17Metasploit的渗透测试432
    14.17.1Metasploit+Nessus联动分析434
    14.18常见Ossim部署与应用问答437
    附录

    附件A分布式蜜罐系统部署460
    附件B监控软件对比464

    附录C全文索引466

    在图书创作的1000多个日日夜夜里,每天除了上班,回到家就开始写作。回忆着过去的经历,整理着曾近记录的笔记,然后开始创作,每当深夜是我创作灵感写作效率最高的时段,那时没人打搅你,你可以全身心的投入。其写作的艰辛恐怕只有经历过的才能体会到吧,希望通过这本书的安全日志分析能给从事安全运维的人员以启迪。

    本文出自 “李晨光原创技术博客” 博客,谢绝转载!

    转载于:https://www.cnblogs.com/chenguang/p/3742182.html

    展开全文
  • 从零开始的Linux学习日志从零开始的Linux学习生活搭建环境常见的Linux指令1. echo2.date3.reboot和poweroff4.其他重要指令小结 从零开始的Linux学习生活 作为一个电子科学与技术专业的大四应届生,本科实在太难...
  • 分享论坛活动书库招聘LCTT游戏下载投稿 热门标签:开源微软Google活动桌面图书MySQL...Linux日志文件总管——logrotate 2014-10-30 23:07| 查看: 1460| 评论: 4| 收藏: 2| 分享: 10 原文:http://xmodulo.com/2014/0...
  • 系统服务及日志,包括服务的信息,报错等等 /var/log/secure 系统认证信息日志 /var/log/maillog 系统邮件服务信息 /var/log/cron 系统定时任务信息 /var/log/boot.log 系统启动信息 2...
  • linux查看日志的命令总结

    万次阅读 2018-05-04 18:50:57
    在这里并没有列举所有的查找条件,参考有关Linux有关书籍可以知道所有find命令的查找函数。 1 2 3 4 5 6 7 8 9 -amin n 查找系统中最后N分钟访问的文件 -atime n 查找系统中最后n*24小时访问的文件 -cmin n 查找...
  • 《Unix/Linux网络日志分析与流量监控》获2015年度最受读者喜爱的IT图书奖。刊登在《中华读书报》( 2015年01月28日 19 版) 我的2015年新作刊登在《中华读书报》( 2015年01月28日 19 版) 原文下载:...
  • 《Unix/Linux网络日志分析与流量监控》获2015年度最受读者喜爱的IT图书奖。刊登在《中华读书报》( 2015年01月28日 19 版)    我的2015年新作刊登在《中华读书报》( 2015年01月28日 19 版) 原文下载:...
  •   快毕业了,辞了php后台工作,无所事事,linux接触的很少,只在某个课的实验课接触过centos,所以...  该日志仅记录一些我个人感觉有些重要的东西,如配置一些软件碰到的问题。  ps:使用书籍及系统《UNIX环...
  • Linux基础书籍推荐

    2014-04-11 12:44:26
    学习Linux还是以Red Hat Enterprise Linux这一基础版本比较好,它的再编译版本CentOS在服务器操作系统中占很大的比重。而且现在很多软件都推出了虚拟机模板,大都是Red Hat为主,此外Linux... 提到Linux书籍,...
  • Centos7.5-Linux计划任务与日志的管理

    千次阅读 2018-10-12 11:23:03
    16.2 日志的种类和记录的方式-自定义ssh服务日志类型和存储位置 16.3 实战-日志切割-搭建远程日志收集服务器 16.4 实战-配置公司内网服务器每天定时自动开关机 16.1 计划任务-at-cron-计划任务使用方法 大家平常...
  • Linux经典书籍下载

    千次阅读 2011-10-09 23:33:54
    转载于: :http://bbs.pcpchina.com/lofiversion/index.php?t168.html    第一部分:Linux基础应用 1、《Linux从入门到精通》 http://www.gouhuo.com/study/linuxboo
  • 本书从UNIX/Linux系统的原始日志(Raw Log)采集与分析讲起,逐步深入到日志审计与计算机取证环节。书中提供了多个案例,每个案例都以一种生动的记事手法讲述了网络遭到入侵之后,管理人员开展系统取证和恢复的过程...
  • 进程和操作系统内和需要能够为发生的事件记录日志,这些日志可用于系统审核和问题故障的排除,一般这些日志永久存储于/var/log目录中。 日志文件 用途 /var/log/messages 大多数系统日志信息记录在此处 /...
  • 《鸟哥的Linux私房菜:基础学习篇》是具有知名度的Linux入门书《鸟哥的Linux私房菜基础学习篇》的最新版,全面而详细地介绍了Linux操作系统。《鸟哥的Linux私房菜:基础学习篇》分为5个部分:一部分着重说明Linux的...
  • 《Unix/Linux日志分析与流量监控》书稿完成近日,历时3年创作的75万字书稿已完成,本书紧紧围绕网络安全的主题,对各种Unix/Linux系统及网络服务日志进行了全面系统的讲解,从系统的原始日志(RawLog)采集与分析讲...
  • 《UNIX/Linux网络日志分析与流量监控》出版社官网: http://www.cmpbook.com/stackroom.php?id=39384 每本图书附赠51CTO学院的价值100元学习卡一张京东:http://item.jd.com/11582561.html机械工业出版社在线购书...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 17,232
精华内容 6,892
关键字:

linux日志书籍

linux 订阅