一:原理:
日志對(duì)于系統(tǒng)的安全來(lái)說(shuō)非常重要��,它記錄了系統(tǒng)每天發(fā)生的各種各樣的事情�,用戶可以通過(guò)它來(lái)檢查錯(cuò)誤發(fā)生的原因,或者尋找受到攻擊時(shí)
攻擊者留下的痕跡����。日志主要的功能是審計(jì)和監(jiān)測(cè)。它還可以實(shí)時(shí)地監(jiān)測(cè)系統(tǒng)狀態(tài)����,監(jiān)測(cè)和追蹤侵入者�。日志也是用戶應(yīng)該注意的地方之一�����。
不要低估日志文件對(duì)網(wǎng)絡(luò)安全的重要作用�,因?yàn)槿罩疚募軌蛟敿?xì)記錄系統(tǒng)每天發(fā)生的各種各樣的事件。用戶可以通過(guò)日志文件檢查錯(cuò)誤產(chǎn)生
的原因��,或者在受到攻擊和黑客入侵時(shí)追蹤攻擊者的蹤跡����。日志的兩個(gè)比較重要的作用是:審核和監(jiān)測(cè)。配置好的Linux的日志非常強(qiáng)大�。對(duì)
于Linux系統(tǒng)而言,所有的日志文件都在/var/log下�。如果有多臺(tái)服務(wù)器的日志需要管理,那么就需要架構(gòu)日志服務(wù)器���,方便管理多臺(tái)服務(wù)器日志����。
二:
案例一:使用Windows作為日志服務(wù)器�,linux作為應(yīng)用服務(wù)器。(本例中用dhcp服務(wù)器作為日志說(shuō)明�����,windows server 2003作
為獲得dhcp地址的測(cè)試機(jī)。說(shuō)明:Windows上使用第三方軟件kiwi syslog7.2)
1:首先將第三方軟件kiwi syslog7.2在windows主機(jī)上安裝
2:[root@lyt ~]# vim /etc/syslog.conf #編輯Linux主機(jī)/etc/syslog.conf文件�,如圖:
3:[root@lyt ~]# mkdir /mnt/cdrom #創(chuàng)建掛載點(diǎn)
[root@lyt ~]# mount /dev/cdrom /mnt/cdrom/ #將光盤掛載至/mnt/cdrom
[root@lyt ~]# cd /mnt/cdrom/Server/ #切換至該目錄,安裝dhcp服務(wù)器
4:[root@lyt Server]# vim /etc/dhcpd.conf #編輯dhcp服務(wù)器腳本
然后按下enter��,配置dhcpd.conf��,如圖:
5:[root@lyt Server]# service dhcpd restart #重啟dhcp服務(wù)器
6:測(cè)試
windows server 2003 已經(jīng)得到ip地址�����,如圖:
windows主機(jī)上的日志服務(wù)器顯示如下:
案例二:使用Linux1主機(jī)作為日志服務(wù)器���,在Linux2主機(jī)架構(gòu)dhcp服務(wù)器作為測(cè)試日志,windows server 2003作為dhcp獲得地址的測(cè)試機(jī)
1:首先為L(zhǎng)inux2主機(jī)分配靜態(tài)ip地址
2:[root@lyt ~]# service network restart #重啟network服務(wù)
3:為L(zhǎng)inux1主機(jī)分配靜態(tài)ip地址
4:[root@lyt ~]# service network restart #重啟network服務(wù)
[root@localhost ~]# vim /etc/sysconfig/syslog #編輯該文件
5:[root@localhost ~]# tail -f /var/log/messages #在Linux1主機(jī)上動(dòng)態(tài)查看日志變化��,-f表示動(dòng)態(tài)
6:測(cè)試:
windows server 2003 獲得了ip地址如下:
Linux主機(jī)1的日志變化:
