目录

1 日志概述1.1 日志的分类1.2 日志管理服务 rsyslog1.3 日志事件级别划分2 日志攻防2.1 攻击：远程登录服务器并删除日志2.2 防御：建立日志备份服务器3 总结4 参考文献

1 日志概述

1.1 日志的分类

不同版本的系统对各日志存放路径及文件名不尽相同，Linux系统常用日志分类及其保存路径如下： /var/log/secure与安全相关的日志信息；/var/log/maillog与邮件相关的日志信息；/var/log/cron与定时任务相关的日志信息；/var/log/spooler与UUCP和news设备相关的日志信息；/var/log/boot.log守护进程启动和停止相关的日志消息。 打开kali终端编辑器，cd进入到log目录下，查看有哪些日志文件。

使用命令 cat /var/log/文件名 查看系统日志内容。

1.2 日志管理服务 rsyslog

作用：主要用来管理日志采集。日志管理服务配置文件文件存放在/etc目录下。使用命令 vim /etc/rsyslog.conf 打开日志管理配置文件并编辑。配置文件中主要有以下内容： 规定是否开放TCP或UDP以及其端口号；规定全局指示，包括时间戳、对所有日志设置默认权限、指定脱机与状态文件目录、指定所有配置文件所在目录/etc/rsyslog.d/。规定哪些服务哪些级别的日志保存到哪个文件中。内容如下：

# /etc/rsyslog.conf configuration file for rsyslog## For more information install rsyslog-doc and see# /usr/share/doc/rsyslog-doc/html/configuration/index.html##################### MODULES #####################module(load="imuxsock") # provides support for local system loggingmodule(load="imklog") # provides kernel logging support#module(load="immark") # provides --MARK-- message capability# provides UDP syslog reception#module(load="imudp")#input(type="imudp" port="514")# provides TCP syslog reception#module(load="imtcp")#input(type="imtcp" port="514")############################### GLOBAL DIRECTIVES ################################# Use traditional timestamp format.# To enable high precision timestamps, comment out the following line.#$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat## Set the default permissions for all log files.#$FileOwner root$FileGroup adm$FileCreateMode 0640$DirCreateMode 0755$Umask 0022## Where to place spool and state files#$WorkDirectory /var/spool/rsyslog## Include all config files in /etc/rsyslog.d/#$IncludeConfig /etc/rsyslog.d/*.conf################### RULES ##################### First some standard log files. Log by facility.#auth,authpriv.* /var/log/auth.log*.*;auth,authpriv.none-/var/log/syslog#cron.*/var/log/cron.logdaemon.* -/var/log/daemon.logkern.*-/var/log/kern.loglpr.* -/var/log/lpr.logmail.*-/var/log/mail.loguser.*-/var/log/user.log## Logging for the mail system. Split it up so that# it is easy to write scripts to parse these files.#mail.info -/var/log/mail.infomail.warn -/var/log/mail.warnmail.err /var/log/mail.err## Some "catch-all" log files.#*.=debug;\auth,authpriv.none;\mail.none-/var/log/debug*.=info;*.=notice;*.=warn;\auth,authpriv.none;\cron,daemon.none;\mail.none-/var/log/messages## Emergencies are sent to everybody logged in.#*.emerg:omusrmsg:*

1.3 日志事件级别划分

CentOS系统中，可以查询命令 man rsyslog.conf 获得日志事件级别划分内容，在Kali中暂未找到相关内容。级别： debug：有调试信息的，日志通信最多info：一般信息日志，最常用notice：最具有重要性的普通条件的信息warning：警告级别err：错误级别，阻止某个功能或者模块不能正常工作的信息crit：严重级别，阻止整个系统或者整个软件不能正常工作的信息alert：需要立刻修改的信息emerg：内核崩溃等重要信息none：什么都不记录

2 日志攻防

2.1 攻击：远程登录服务器并删除日志

攻击者可以通过Telnet或SSH等方式远程登录服务器；登录后将其登录日志删除，如采用 echo “” > /var/log/secure 等命令。服务器管理员无法根据日志内容 cat /var/log/secure 判断是否被远程操控。

2.2 防御：建立日志备份服务器

对于需要备份日志的服务器，如WEB服务器等，需要完成以下操作： 在/etc/rsyslog.conf中定义什么服务什么级别的日志要发，以什么协议发给哪个IP哪个端口。如authpriv.* @@192.168.1.1:514表示将登录服务的所有级别日志以TCP协议发给192.168.1.1的514端口。关闭防火墙对数据的拦截或加密；重启服务 service rsyslog restart 。 对于日志备份服务器，需要完成以下操作： 在/etc/rsyslog.conf中定义以什么协议接收哪个端口日志、定义接收谁的日志存放到哪。 :fromhost-ip, isequal, “192.168.1.200” /var/log/client/192.168.1.200.log ，其中第一句表述的是客户机的IP地址，后一句描述的是日志存放目录。重启服务： service rsyslog restart 。查询开启端口： ss -antpl | grep 514 ，其中ss表示查询已开启端口号、a表示所有、n表示？？、t表示TCP协议、p表示pid进程、l表示监听状态、grep 514表示按514过滤。-an是端口查询命令，tp表示TCP协议，l表示以行显示，grep是根据后面的端口号过滤。

3 总结

掌握日志的存放位置；了解日志的级别；了解日志管理服务的配置方法；了解日志备份服务器的部署方法。

4 参考文献

《Linux系统日志管理》《千锋CentOS设置日志备份服务器视频教程》