Linux日誌分析

日誌也是用戶應該注意的地方之一。不要低估日誌文件對網絡安全的重要作用，因爲日誌文件能夠詳細記錄系統每天發生的各種各樣的事件。用戶可以通過日誌文件檢查錯誤產生的原因，或者在受到攻擊和黑客入侵時追蹤攻擊者的蹤跡。日誌的兩個比較重要的作用是：審覈和監測。配置好的Linux的日誌非常強大。對於Linux系統而言，所有的日誌文件都在/var/log下。默認情況下，Linux的日誌文件已經足夠強大，但沒有記錄FTP的活動。用戶可以通過修改/etc/ftpacess讓系統記錄FTP的一切活動。
　　Linux日誌系統簡介：日誌對於系統的安全來說非常重要，它記錄了系統每天發生的各種各樣的事情，用戶可以通過它來檢查錯誤發生的原因，或者尋找受到攻擊時攻擊者留下的痕跡。日誌主要的功能是審計和監測。它還可以實時地監測系統狀態，監測和追蹤侵入者。Linux系統一般有3個主要的日誌子系統：連接時間日誌、進程統計日誌和錯誤日誌。

　　RedHat Linux常見的日誌文件和常用命令：成功地管理任何系統的關鍵之一，是要知道系統中正在發生什麼事。Linux 中提供了異常日誌，並且日誌的細節是可配置的。Linux 日誌都以明文形式存儲，所以用戶不需要特殊的工具就可以搜索和閱讀它們。還可以編寫腳本，來掃描這些日誌，並基於它們的內容去自動執行某些功能。Linux 日誌存儲在 /var/log 目錄中。這裏有幾個由系統維護的日誌文件，但其他服務和程序也可能會把它們的日誌放在這裏。大多數日誌只有root賬戶纔可以讀，不過修改文件的訪問權限就可以讓其他人可讀。

　　配置Linux日誌文件：日誌也應該是用戶注意的地方。不要低估日誌文件對網絡安全的重要作用，因爲日誌文件能夠詳細記錄系統每天發生的各種各樣的事件，用戶可以通過日誌文件檢查錯誤產生的原因，或者在受到攻擊、被入侵時追蹤攻擊者的蹤跡。日誌的兩個比較重要的作用是審覈和監測。配置好的Linux的日誌非常強大。對於Linux系統而言，所有的日誌文件在/var/log下。默認情況下，Linux的日誌文件已經足夠強大，但沒有記錄FTP的活動。用戶可以通過修改/etc/ftpacess讓系統記錄FTP的一切活動。

　　管理Linux日誌文件工具：logrotate簡介：如果服務器有大量的用戶的話，這些日誌文件的大小會很快地增加，在服務器硬盤不是非常充足的情況下，必須採取措施防止日誌文件將硬盤撐爆。現代的Linux版本都有一個小程序，名爲logrotate，用來幫助用戶管理日誌文件，它以自己的守護進程工作。logrotate週期性地旋轉日誌文件，可以週期性地把每個日誌文件重命名成一個備份名字，然後讓它的守護進程開始使用一個日誌文件的新的拷貝。這就是爲什麼在/var/log/下看到許多諸如maillog、maillog.1、maillog.2、boot.log.1、boot.log.2之類的文件名。它由一個配置文件驅動，該文件是/etc/logroatate.conf

　　Linux下常用日誌分析工具:Logcheck簡介：對於擁有大量賬戶、系統繁忙的Linux系統而言，其日誌文件是極其龐大的，很多沒有用的信息會將值得注意的信息淹沒，給用戶分析日誌帶來了很大的不便。現在有一些專門用於分析日誌的工具，如Logcheck和Friends。Logcheck用來分析龐大的日誌文件，過濾出有潛在安全風險或其他不正常情況的日誌項目，然後以電子郵件的形式通知指定的用戶。它是由Psionic開發的.