目的:纪录系统和用户事件,并对审计过程自身进行保护。这里值得注意的就是纪录事件的细度。Solaris提供了很强大的审计功能,甚至可以纪录每一条调试信息,但是这样做是不明智的,因为很多信息对用户没用,而且会使系统性能下降。审计细度需要管理员根据用途和需要自行订制。
实现:
1. 查看日志
1)history文件
通常在根目录下,隐藏文件,记录了root执行的命令
2)/var/adm
messages:记载来自系统核心的各种运行日志,可以记载的内容是由/etc/syslog.conf决定的
sulog:记载着普通用户尝试su成为其它用户的纪录。它的格式为: 发生时间 +/-(成功/失败) pts号
utmpx:这两个文件是不具可读性的,它们记录着当前登录在主机上的用户,管理员可以用w,who等命令来看
wtmpx:相当于历史纪录,记录着所有登录过主机的用户,时间,来源等内容,可用last命令来看
3)/var/log
syslog文件,这个文件的内容一般是纪录mail事件的
2. syslog
1)实时错误检查:
tail –f /var/adm/messages
-f在监视器上允许看见每条记录 /var/adm/messages记录事件路径
2)/etc/syslog.conf语法:
*.err;kern.debug;deamon.notice;mail.crit /var/adm/messages
工具认可的值
user 用户进程产生的消息。这是来自没有在文件列表中的设备的消息的默认优先级
kern 由内核产生的消息
mail 邮件系统
daemon 系统守护进程
auth 授权系统,如login、su
lpr 行式打印机假脱机系统
news 网络新闻系统USENET保留值
uucp 为UUCP系统保留值,目前UUCP不使用syslog机制
cron Cron/at工具;crontab、at、cron
local0-7 为本地使用保留
mark 内部用于由syslog产生的时间戳消息
* 除标记工具之外的所有工具
级别认可的值(按重要性降序排列)
emerg 用于通常必须广播给所有用户的恐慌情况
alert 必须立即被修正的情况,例如被损坏的系统数据库
crit 用户对关键情况的告警,例如设备错误
err 用于其他错误
warning 用于所有的警告信息
notice 用于没有错误但是可能需要特别处理的情况。
info 通知消息
debug 用于通常只在调试时才使用的消息
none 不发送从指出的设备发来的消息到选定文件中
|
3) 例如如果要纪录登录信息(telnet),可以这样做:
/etc/default/login中:SYSLOG=YES
/etc/syslog.conf中添加:auth.notice /export/home/wangyu/log
(把日志记录在/export/home/wangyu/log文件中,中间不是空格,是Tab)
重新启动syslog守护进程
当telnet上去的时候,我们看到/export/home/wangyu/log中有:
Sep 11 10:07:25 hlstar login: [ID 254462 auth.notice] ROOT LOGIN /dev/pts/1 FROM 192.168.0.9
3. Loghost
编辑/etc/syslog.conf,语法:
*.err;kern.debug;deamon.notice;mail.crit @loghost
(记录登录信息)
重新启动syslog守护进程
假设这次我们使用linux做日志主机:
[root@wangyu root]#/sbin/setup
打开配置界面-->;firewall configuration-->;custom-->;other ports:
写入 syslog:udp
重新启动防火墙
/etc/init.d/iptables restart或者/etc/init.d/ipchains restart
设置loghost接收网络日志数据,修改/etc/sysconfig/syslog配置文件:
修改 SYSLOGD_OPTIONS="-m 0" 为 SYSLOGD_OPTIONS="-r -m 0"
重新启动syslog守护进程
此时/var/log/messages最下端附近会看到类似下面的信息
Aug 11 21:20:30 logserver syslogd 1.3-3: restart. (remote reception)
当telnet上去的时候,我们看到/var/log/messages中有类似下面的信息:
Sep 5 11:08:31 mastadon login: [ID 507249 auth.notice] Login failure on /dev/pts/3 from 192.168.0.9, root
4. 记帐
Solaris操作系统可以通过设置日志文件可以对每个用户的每一条命令进行纪录,这一功能默认是不开放的
运行/usr/lib/acct/accton [路径][文件名]
(如/usr/lib/acct/accton /export/home/wangyu/test,将日志记录到test中)
查看的时候将文件移动到/var/adm目录下,改名为pacct
执行查看命令lastcomm(比如查看用户root,用命令lastcomm root)
1
2
下一页>>
