目的:纪录系统和用户事件,并对审计过程自身进行保护。这里值得注意的就是纪录事件的细度。Solaris提供了很强大的审计功能,甚至可以纪录每一条调试信息,但是这样做是不明智的,因为很多信息对用户没用,而且会使系统性能下降。审计细度需要管理员根据用途和需要自行订制。
实现:
1. 查看日志
1)history文件
通常在根目录下,隐藏文件,记录了root执行的命令
2)/var/adm
messages:记载来自系统核心的各种运行日志,可以记载的内容是由/etc/syslog.conf决定的
sulog:记载着普通用户尝试su成为其它用户的纪录。它的格式为: 发生时间 +/-(成功/失败) pts号
utmpx:这两个文件是不具可读性的,它们记录着当前登录在主机上的用户,管理员可以用w,who等命令来看
wtmpx:相当于历史纪录,记录着所有登录过主机的用户,时间,来源等内容,可用last命令来看
3)/var/log
syslog文件,这个文件的内容一般是纪录mail事件的
2. syslog
1)实时错误检查:
tail –f /var/adm/messages
-f在监视器上允许看见每条记录 /var/adm/messages记录事件路径
2)/etc/syslog.conf语法:
*.err;kern.debug;deamon.notice;mail.crit /var/adm/messages
工具认可的值
user 用户进程产生的消息。这是来自没有在文件列表中的设备的消息的默认
优先级
kern 由内核产生的消息
mail 邮件系统
daemon 系统守护进程
auth 授权系统,如login、su
lpr 行式打印机假脱机系统
news 网络新闻系统USENET保留值
uucp 为UUCP系统保留值,目前UUCP不使用syslog机制
cron Cron/at工具;crontab、at、cron
local0-7 为本地使用保留
mark 内部用于由syslog产生的时间戳消息
* 除标记工具之外的所有工具
级别认可的值(按重要性降序排列)
emerg 用于通常必须广播给所有用户的恐慌情况
alert 必须立即被修正的情况,例如被损坏的系统数据库
crit 用户对关键情况的告警,例如设备错误
err 用于其他错误
warning 用于所有的警告信息
notice 用于没有错误但是可能需要特别处理的情况。
info 通知消息
debug 用于通常只在调试时才使用的消息
none 不发送从指出的设备发来的消息到选定文件中
|
3) 例如如果要纪录登录信息(telnet),可以这样做:
/etc/default/login中:SYSLOG=YES
/etc/syslog.conf中添加:auth.notice /export/home/wangyu/log
(把日志记录在/export/home/wangyu/log文件中,中间不是空格,是Tab)
重新启动syslog守护进程
当telnet上去的时候,我们看到/export/home/wangyu/log中有:
Sep 11 10:07:25 hlstar login: [ID 254462 auth.notice] ROOT LOGIN /dev/pts/1 FROM 192.168.0.9
| 共4页: 1 [2] [3] [4] 下一页 | ||||||
|
