一:原理:
日志對于系統(tǒng)的安全來說非常重要,它記錄了系統(tǒng)每天發(fā)生的各種各樣的事情����,用戶可以通過它來檢查錯誤發(fā)生的原因�����,或者尋找受到攻擊時
攻擊者留下的痕跡�����。日志主要的功能是審計和監(jiān)測���。它還可以實時地監(jiān)測系統(tǒng)狀態(tài),監(jiān)測和追蹤侵入者�����。日志也是用戶應(yīng)該注意的地方之一��。
不要低估日志文件對網(wǎng)絡(luò)安全的重要作用����,因為日志文件能夠詳細記錄系統(tǒng)每天發(fā)生的各種各樣的事件。用戶可以通過日志文件檢查錯誤產(chǎn)生
的原因�����,或者在受到攻擊和黑客入侵時追蹤攻擊者的蹤跡���。日志的兩個比較重要的作用是:審核和監(jiān)測��。配置好的Linux的日志非常強大��。對
于Linux系統(tǒng)而言���,所有的日志文件都在/var/log下。如果有多臺服務(wù)器的日志需要管理���,那么就需要架構(gòu)日志服務(wù)器�,方便管理多臺服務(wù)器日志�����。
二:
案例一:使用Windows作為日志服務(wù)器,linux作為應(yīng)用服務(wù)器�。(本例中用dhcp服務(wù)器作為日志說明,windows server 2003作
為獲得dhcp地址的測試機��。說明:Windows上使用第三方軟件kiwi syslog7.2)
1:首先將第三方軟件kiwi syslog7.2在windows主機上安裝
2:[root@lyt ~]# vim /etc/syslog.conf #編輯Linux主機/etc/syslog.conf文件��,如圖:
3:[root@lyt ~]# mkdir /mnt/cdrom #創(chuàng)建掛載點
[root@lyt ~]# mount /dev/cdrom /mnt/cdrom/ #將光盤掛載至/mnt/cdrom
[root@lyt ~]# cd /mnt/cdrom/Server/ #切換至該目錄��,安裝dhcp服務(wù)器
4:[root@lyt Server]# vim /etc/dhcpd.conf #編輯dhcp服務(wù)器腳本
然后按下enter�����,配置dhcpd.conf���,如圖:
5:[root@lyt Server]# service dhcpd restart #重啟dhcp服務(wù)器
6:測試
windows server 2003 已經(jīng)得到ip地址����,如圖:
windows主機上的日志服務(wù)器顯示如下:
案例二:使用Linux1主機作為日志服務(wù)器��,在Linux2主機架構(gòu)dhcp服務(wù)器作為測試日志�����,windows server 2003作為dhcp獲得地址的測試機
1:首先為Linux2主機分配靜態(tài)ip地址
2:[root@lyt ~]# service network restart #重啟network服務(wù)
3:為Linux1主機分配靜態(tài)ip地址
4:[root@lyt ~]# service network restart #重啟network服務(wù)
[root@localhost ~]# vim /etc/sysconfig/syslog #編輯該文件
5:[root@localhost ~]# tail -f /var/log/messages #在Linux1主機上動態(tài)查看日志變化,-f表示動態(tài)
6:測試:
windows server 2003 獲得了ip地址如下:
Linux主機1的日志變化:
