目录
1 日志概述1.1 日志的分类1.2 日志管理服务 rsyslog1.3 日志事件级别划分2 日志攻防2.1 攻击:远程登录服务器并删除日志2.2 防御:建立日志备份服务器3 总结4 参考文献1 日志概述
1.1 日志的分类
不同版本的系统对各日志存放路径及文件名不尽相同,Linux系统常用日志分类及其保存路径如下: /var/log/secure与安全相关的日志信息;/var/log/maillog与邮件相关的日志信息;/var/log/cron与定时任务相关的日志信息;/var/log/spooler与UUCP和news设备相关的日志信息;/var/log/boot.log守护进程启动和停止相关的日志消息。 打开kali终端编辑器,cd进入到log目录下,查看有哪些日志文件。使用命令 cat /var/log/文件名 查看系统日志内容。
1.2 日志管理服务 rsyslog
作用:主要用来管理日志采集。日志管理服务配置文件文件存放在/etc目录下。使用命令 vim /etc/rsyslog.conf 打开日志管理配置文件并编辑。配置文件中主要有以下内容: 规定是否开放TCP或UDP以及其端口号;规定全局指示,包括时间戳、对所有日志设置默认权限、指定脱机与状态文件目录、指定所有配置文件所在目录/etc/rsyslog.d/。规定哪些服务哪些级别的日志保存到哪个文件中。内容如下:# /etc/rsyslog.conf configuration file for rsyslog## For more information install rsyslog-doc and see# /usr/share/doc/rsyslog-doc/html/configuration/index.html##################### MODULES #####################module(load="imuxsock") # provides support for local system loggingmodule(load="imklog") # provides kernel logging support#module(load="immark") # provides --MARK-- message capability# provides UDP syslog reception#module(load="imudp")#input(type="imudp" port="514")# provides TCP syslog reception#module(load="imtcp")#input(type="imtcp" port="514")############################### GLOBAL DIRECTIVES ################################# Use traditional timestamp format.# To enable high precision timestamps, comment out the following line.#$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat## Set the default permissions for all log files.#$FileOwner root$FileGroup adm$FileCreateMode 0640$DirCreateMode 0755$Umask 0022## Where to place spool and state files#$WorkDirectory /var/spool/rsyslog## Include all config files in /etc/rsyslog.d/#$IncludeConfig /etc/rsyslog.d/*.conf################### RULES ##################### First some standard log files. Log by facility.#auth,authpriv.* /var/log/auth.log*.*;auth,authpriv.none-/var/log/syslog#cron.*/var/log/cron.logdaemon.* -/var/log/daemon.logkern.*-/var/log/kern.loglpr.* -/var/log/lpr.logmail.*-/var/log/mail.loguser.*-/var/log/user.log## Logging for the mail system. Split it up so that# it is easy to write scripts to parse these files.#mail.info -/var/log/mail.infomail.warn -/var/log/mail.warnmail.err /var/log/mail.err## Some "catch-all" log files.#*.=debug;\auth,authpriv.none;\mail.none-/var/log/debug*.=info;*.=notice;*.=warn;\auth,authpriv.none;\cron,daemon.none;\mail.none-/var/log/messages## Emergencies are sent to everybody logged in.#*.emerg:omusrmsg:*