信息安全工程6-3 參考資料-Syslog全析

1、Syslog簡介Unix/Linux的系統(tǒng)日志syslogUnix類操作系統(tǒng)提供了系統(tǒng)范圍的日志服務(wù)支持syslog，Syslog是系統(tǒng)內(nèi)部的“探針”，是負(fù)責(zé)記錄大部分系統(tǒng)事件(event)的一個后臺程序，記錄包括核心、系統(tǒng)程許及使用者自行開發(fā)程序的運(yùn)行情況及及所發(fā)生的事件?？梢哉f，syslog是能夠最精確、最可靠、最及時反映主機(jī)系統(tǒng)運(yùn)行情況的機(jī)制和數(shù)據(jù)。由于syslog的特點(diǎn)（實(shí)時、海量、復(fù)雜、重要）和處理的技術(shù)原因，Unix系統(tǒng)的syslog一直都沒有有效的利用和發(fā)掘。Unix/Linux的系統(tǒng)日志syslogUnix/Linux系統(tǒng)的分類System V和BSD風(fēng)格兩種目前的大多數(shù)商業(yè)系

2、統(tǒng)是兩者的混合體Syslog的機(jī)制的思想和實(shí)現(xiàn)來源于BSD系統(tǒng)，后被System V所采用。Syslog是Internet協(xié)議族的一員，RFC3164使用UDP/514進(jìn)行通訊使用syslogd后臺進(jìn)程，syslogd啟動時讀配置文件/etc/syslog.conf配置文件改變后要使其生效需要重新啟動syslogSyslogd的內(nèi)部機(jī)制，三種情況syslogdInternet socket/etc/servicesDomain socket/dev/logSpecial device/dev/klogsyslogdklogdmodulesUnix/Linux的系統(tǒng)日志syslogsyslog.

3、conf的每一行（#開頭的為注釋，將被忽略）由“選擇符 動作”組成（selector action）。syslog.conf的一般格式如下： facility.priority; facility.priorityaction 即：設(shè)施.優(yōu)先級;設(shè)施.優(yōu)先級 記錄行為設(shè)施和優(yōu)先級的名字都是系統(tǒng)提供的標(biāo)準(zhǔn)名字可以用*表示任何設(shè)施（句點(diǎn)前的*）或任何優(yōu)先級（句點(diǎn)后的*）指定一個優(yōu)先級的意思為大于等于該優(yōu)先級的日志消息用none表示不包括任何優(yōu)先級。Linux對bsd的syslog做了一些擴(kuò)展，引入了=和!。在任何一個優(yōu)先級前用=，表示僅針對該優(yōu)先級而不包括大于它的優(yōu)先級。!表示求反，可以放在優(yōu)先級

4、或=前面（如果有的話），表示和原來相反的意思。具有相同優(yōu)先級的幾個設(shè)施可以一起寫在句點(diǎn)前面，用,分開。具有相同動作的多個選擇符可以寫在同一行的選擇符域，各個選擇符之間用;分開。Unix/Linux的系統(tǒng)日志syslogSyslog反映Unix/Linux子系統(tǒng)8級信息分類：優(yōu)先級對應(yīng)的數(shù)字越低情況越嚴(yán)重 診斷DEBUG， 用于調(diào)試，程序，產(chǎn)品設(shè)備7DEBUG信息INFO，有用的信息 6INFO提示NOTICE，普通但重要的事件 5NOTICE警告WARNING任何報警，警告事件4WARNING錯誤ERR任何錯誤的東西，錯誤事件3ERR致命錯誤CRIT，設(shè)備發(fā)生了關(guān)鍵性問題情況,包括進(jìn)程CRAS

5、H,OVERFLOW2CRIT警報ALERT，任何需要立即注意的發(fā)生情況1ALERT應(yīng)急EMERY，任何緊急情況，包括系統(tǒng)PANIC。0EMERGUnix/Linux的系統(tǒng)日志syslogsyslog.conf 的選擇符示例local0.* local0的任何優(yōu)先級的日志消息*.crit任何設(shè)施的優(yōu)先級大于等于關(guān)鍵事件的日志消息*.=crit 任何設(shè)施的關(guān)鍵事件日志消息*.*；kern.none 除kern外的其他任何設(shè)施的任何日志消息；kern.!=err kern設(shè)施從info到warning之間的日志消息syslog.conf 具體示例Unix/Linux的系統(tǒng)日志syslogSyslo

6、gd提供了如下的記錄動作 (action)。文件名 寫入某個文件，注意文件名要帶絕對路徑。 命名管道（fifo）， |程序 通過管道轉(zhuǎn)發(fā)給某個程序，程序文件名要帶絕對路徑。 /dev/console 發(fā)送到本地機(jī)器終端和控制臺上hostname 或 IP地址 轉(zhuǎn)發(fā)給另外一臺遠(yuǎn)程主機(jī)的syslogd程序用戶列表* 發(fā)送到所有用戶的終端上 Syslog反映的Unix/Linux事件舉例Unix/Linux系統(tǒng)內(nèi)核產(chǎn)生的0-7級，以及相關(guān)的硬件問題Unix/Linux網(wǎng)絡(luò)部分產(chǎn)生的0-7級Unix/Linux的安全模塊部分，如iptable，access controlUnix/Linux的高可用性

7、部分產(chǎn)生的0-7級Unix/Linux的“設(shè)備”及其設(shè)備驅(qū)動程序的0-7級Unix/Linux的各類系統(tǒng)daemon產(chǎn)生的0-7級，如SNMP模塊Unix/Linux的系統(tǒng)服務(wù)模塊，如WWW,DNS,MAIL.Unix/Linux的第三方和應(yīng)用系統(tǒng)，如tripwire, snort，checkpoint,.Unix/Linux的系統(tǒng)管理過程中產(chǎn)生的syslogUnix/Linux的用戶開發(fā)程序使用syslog API 產(chǎn)生的日志Syslog反映的Unix/Linux事件舉例安全方面，主機(jī)系統(tǒng)安全評估、主機(jī)管理、入侵跟蹤和取證主機(jī)和存儲、高可用系統(tǒng)的故障診斷，分析，定位，長期跟蹤系統(tǒng)的運(yùn)行情況，

8、將定期的主機(jī)系統(tǒng)健康檢查，變成實(shí)時的跟蹤和觀察，并可以定制警報，在條件滿足時通過多種方式通知系統(tǒng)管理員，無論管理員在哪里。系統(tǒng)管理，如登陸、文件系統(tǒng)滿、系統(tǒng)重新/意外啟動、文件系統(tǒng)unmout/mount，主機(jī)的訪問，設(shè)備的增加減少，系統(tǒng)核心參數(shù)的改變，核心的配置不合理等等，可以說保羅萬象Syslog反映的Unix/Linux事件舉例硬件方面 (CPU, Raid Controllers, Memory)磁盤陣列控制器配置的改變可影響磁盤讀取操作的響應(yīng)時間內(nèi)存奇偶校驗(yàn)的失敗可導(dǎo)致操作系統(tǒng)崩潰 CPU 風(fēng)扇不能正常工作導(dǎo)致高溫會使CPU間歇性重啟操作系統(tǒng)方面 (Device Drivers, M

9、emory Allocation, Disk Access Manager)設(shè)備驅(qū)動程序的內(nèi)存泄漏可導(dǎo)致“臟”的或不可用的內(nèi)存塊，影響內(nèi)存分配和使用率 磁盤碎片影響邏輯磁盤的存取時間，不能有效對應(yīng)用程序進(jìn)行置換 低質(zhì)量的多線程應(yīng)用導(dǎo)致 CPU 使用率太高Syslog反映的Unix/Linux事件舉例HP MC/ServiceGuard的進(jìn)程，共有八個守候進(jìn)程與 ServiceGuard 有關(guān)/usr/lbin/cmlogdServiceGuard 系統(tǒng)日志記錄守候進(jìn)程，將HP雙機(jī)系統(tǒng)工作的日志、故障警報日志通過syslog記錄其它的Unix/Linux，無論是否通過硬件實(shí)現(xiàn)雙機(jī)結(jié)構(gòu)，都通過sy

10、slog記錄發(fā)生的事件Syslog反映的Unix/Linux事件舉例Unix/Linux核心和硬件核心，以System V風(fēng)格的Unix系統(tǒng)為例，64個左右的系統(tǒng)調(diào)用和實(shí)現(xiàn)構(gòu)成的集合就是核心的主體64個系統(tǒng)調(diào)用，大約產(chǎn)生的核心方面的問題有64*8（0-7）類！通過系統(tǒng)調(diào)用，就是核心同計算機(jī)硬件溝通每個系統(tǒng)調(diào)用，system_call都會產(chǎn)生syslog信息，特別是有系統(tǒng)故障和報警時候，如系統(tǒng)資源方面的問題。所有的程序都需要system_call存取權(quán)限錯誤。記帳程序，如用戶登陸、系統(tǒng)使用文件系統(tǒng)的多少等都會通過syslog反映，如使用su,login,logout等Syslog反映的Unix/

11、Linux事件舉例系統(tǒng)調(diào)用fork產(chǎn)生syslog舉例進(jìn)程創(chuàng)建失敗，無論邏輯和物理方面的原因系統(tǒng)調(diào)用mount/unmount失敗系統(tǒng)調(diào)用read/write/open的任何問題文件系統(tǒng)引導(dǎo)塊故障警報文件系統(tǒng)超級塊故障警報文件系統(tǒng)索引節(jié)點(diǎn)問題IPC進(jìn)程間通訊問題系統(tǒng)核心被編譯，系統(tǒng)被重新啟動及其啟動時的問題Syslog反映的Unix/Linux事件舉例系統(tǒng)交換區(qū)問題，如改變，交換區(qū)資源耗盡系統(tǒng)使用異步I/O時產(chǎn)生的任何問題進(jìn)程意外中止，進(jìn)程死鎖，進(jìn)程改變優(yōu)先級文件系統(tǒng)檢查時的任何問題進(jìn)程被睡眠時的任何問題，包括無法喚醒系統(tǒng)數(shù)據(jù)緩存和高速緩存問題，包括鎖故障系統(tǒng)管道故障方面的問題分配磁盤塊方面的

12、問題釋放索引節(jié)點(diǎn)方面問題文件系統(tǒng)數(shù)據(jù)塊的改變，如大小Syslog反映的Unix/Linux事件舉例文件系統(tǒng)指派新索引節(jié)點(diǎn)問題系統(tǒng)軟中斷和硬中斷的問題程序核心態(tài)和用戶態(tài)轉(zhuǎn)換方面的問題字符設(shè)備故障問題，如終端等等塊設(shè)備故障問題，如磁帶機(jī)，磁盤等等Make/cc/link等編譯器問題Link死鎖，文件系統(tǒng)一致性方面問題系統(tǒng)調(diào)用過程問題進(jìn)程上下文切換問題文件系統(tǒng)和文件備份，如cpio, dd, dump, tar等問題Syslog反映的Unix/Linux事件舉例地址空間意外錯誤，如溢出，伸縮，重疊等進(jìn)程地址空間管理問題進(jìn)程優(yōu)先級意外錯誤方面問題父進(jìn)程和子進(jìn)程共享文件處理的問題軟中斷信號處理錯誤問題，

13、如調(diào)度，用戶態(tài)和核心態(tài)轉(zhuǎn)換，內(nèi)存緊張不足等系統(tǒng)捕獲軟中斷信號方面的問題，信號丟失，阻斷等Setuid/setgid方面的問題系統(tǒng)shell出錯問題系統(tǒng)init自舉時的意外，gettty的意外，進(jìn)程wait/nowait意外重要文件的意外改變?nèi)?etc/inittab，導(dǎo)致系統(tǒng)引導(dǎo)問題進(jìn)程換入換出意外Syslog反映的Unix/Linux事件舉例系統(tǒng)請求調(diào)頁錯誤，如系統(tǒng)調(diào)用exec偷頁進(jìn)程（page stealer）意外問題和頁面錯誤系統(tǒng)信號量方面的問題打印系統(tǒng)方面問題，包括帶syslog功能的打印機(jī)任何寫在/etc/services中的服務(wù)程序，包括用戶自己開發(fā)的程序需要配置/etc/inet

14、d.conf, /etc/protocol,/etc/services記錄telnet, ftp,ssh,.的日志，包括8個級別配置參考文檔，需要重新啟動inetd這個超級服務(wù)程序記錄任何基于網(wǎng)絡(luò)的服務(wù)連接情況日志增強(qiáng)的inetd, xinetd加強(qiáng)了日志的功能，并整合到unix/linux系統(tǒng)中，并代替inetdSyslog反映的Unix/Linux事件舉例Scsi ，RAID子系統(tǒng)方面的故障信息，如scsi cable問題任何“設(shè)備文件”的故障信息，如/dev/klog, /etc/tty任何后臺進(jìn)程的意外情況，如inetd本身通過snmpd daemon產(chǎn)生的系統(tǒng)性能方面的信息和故障Sy

15、slog反映的Unix/Linux事件舉例Telnet的session信息，問題等Ftp的session信息，問題Ssh的session信息，問題Dns方面的工作和故障問題，如/etc/named, bindNfs工具和相應(yīng)的網(wǎng)絡(luò)文件系統(tǒng)的問題Ldap服務(wù)方面的問題郵件服務(wù)器，如sendmail, qmail等的交易日志，故障等Web服務(wù)器，如apache, tomcat等的交易日志，故障Syslogd本身的日志Syslog反映的Unix/Linux事件舉例Tripwire產(chǎn)生的工作和故障，反映系統(tǒng)文件的變動CA access control核心防護(hù)軟件產(chǎn)生的信息Unix防病毒軟件產(chǎn)生的日志代

16、理服務(wù)器，如squid產(chǎn)生的交易和故障TCP Wrapper工具產(chǎn)生的日志，通過tcpdSnort IDS軟件產(chǎn)生的syslog數(shù)據(jù)庫的后臺進(jìn)程和各類中間件（依賴于具體情況）任何軟件升級（包括OS），補(bǔ)丁，安裝，卸載的情況，補(bǔ)丁引起的各種問題硬件的改變，增加、減少Unix/Linux的系統(tǒng)日志syslog不是所有的日志都有syslogd記錄與syslog無關(guān)的系統(tǒng)記錄：wtmp、utmp、lastlog、pacct等，系統(tǒng)核心記錄了一些與使用者帳號存取有關(guān)的信息。應(yīng)用程序運(yùn)行日志， 如Apache Server的access.log及error.log等。網(wǎng)絡(luò)設(shè)備的syslog配置Cisco設(shè)

17、備syslog配置操作device#conf t device(config)#logging on device(config)#logging a.b.c.d /日志服務(wù)器的IP地址 device(config)#logging facility local1 /facility標(biāo)識, RFC3164 規(guī)定的本地設(shè)備標(biāo)識為 local0 - local7 device(config)#logging source-interface e0 /日志發(fā)出用的源IP地址 device(config)#service timestamps log datetime localtime /日志記錄的

18、時間戳設(shè)置，可根據(jù)需要具體配置 device#sh logging /檢查配置網(wǎng)絡(luò)設(shè)備的syslog配置華為設(shè)備syslog配置操作【命令】undo info-center loghost loghost-number ip-address port local0 | | local7 English | Chinese emergencies | alerts | critical | errors | warnings |notifications | informational | debugging filter facility1 facility2 【參數(shù)】 loghost-number：指示選擇一臺Unix 主機(jī)，取值范圍為09。ip-address：指定Unix 主機(jī)的IP 地址，為點(diǎn)分