信息安全工程6-3 參考資料-Syslog全析

1、Syslog簡介Unix/Linux的系統(tǒng)日志syslogUnix類操作系統(tǒng)提供了系統(tǒng)范圍的日志服務支持syslog，Syslog是系統(tǒng)內部的“探針”，是負責記錄大部分系統(tǒng)事件(event)的一個后臺程序，記錄包括核心、系統(tǒng)程許及使用者自行開發(fā)程序的運行情況及及所發(fā)生的事件?？梢哉f，syslog是能夠最精確、最可靠、最及時反映主機系統(tǒng)運行情況的機制和數(shù)據(jù)。由于syslog的特點（實時、海量、復雜、重要）和處理的技術原因，Unix系統(tǒng)的syslog一直都沒有有效的利用和發(fā)掘。Unix/Linux的系統(tǒng)日志syslogUnix/Linux系統(tǒng)的分類System V和BSD風格兩種目前的大多數(shù)商業(yè)系

2、統(tǒng)是兩者的混合體Syslog的機制的思想和實現(xiàn)來源于BSD系統(tǒng)，后被System V所采用。Syslog是Internet協(xié)議族的一員，RFC3164使用UDP/514進行通訊使用syslogd后臺進程，syslogd啟動時讀配置文件/etc/syslog.conf配置文件改變后要使其生效需要重新啟動syslogSyslogd的內部機制，三種情況syslogdInternet socket/etc/servicesDomain socket/dev/logSpecial device/dev/klogsyslogdklogdmodulesUnix/Linux的系統(tǒng)日志syslogsyslog.

3、conf的每一行（#開頭的為注釋，將被忽略）由“選擇符 動作”組成（selector action）。syslog.conf的一般格式如下： facility.priority; facility.priorityaction 即：設施.優(yōu)先級;設施.優(yōu)先級 記錄行為設施和優(yōu)先級的名字都是系統(tǒng)提供的標準名字可以用*表示任何設施（句點前的*）或任何優(yōu)先級（句點后的*）指定一個優(yōu)先級的意思為大于等于該優(yōu)先級的日志消息用none表示不包括任何優(yōu)先級。Linux對bsd的syslog做了一些擴展，引入了=和!。在任何一個優(yōu)先級前用=，表示僅針對該優(yōu)先級而不包括大于它的優(yōu)先級。!表示求反，可以放在優(yōu)先級

4、或=前面（如果有的話），表示和原來相反的意思。具有相同優(yōu)先級的幾個設施可以一起寫在句點前面，用,分開。具有相同動作的多個選擇符可以寫在同一行的選擇符域，各個選擇符之間用;分開。Unix/Linux的系統(tǒng)日志syslogSyslog反映Unix/Linux子系統(tǒng)8級信息分類：優(yōu)先級對應的數(shù)字越低情況越嚴重 診斷DEBUG， 用于調試，程序，產(chǎn)品設備7DEBUG信息INFO，有用的信息 6INFO提示NOTICE，普通但重要的事件 5NOTICE警告WARNING任何報警，警告事件4WARNING錯誤ERR任何錯誤的東西，錯誤事件3ERR致命錯誤CRIT，設備發(fā)生了關鍵性問題情況,包括進程CRAS

5、H,OVERFLOW2CRIT警報ALERT，任何需要立即注意的發(fā)生情況1ALERT應急EMERY，任何緊急情況，包括系統(tǒng)PANIC。0EMERGUnix/Linux的系統(tǒng)日志syslogsyslog.conf 的選擇符示例local0.* local0的任何優(yōu)先級的日志消息*.crit任何設施的優(yōu)先級大于等于關鍵事件的日志消息*.=crit 任何設施的關鍵事件日志消息*.*；kern.none 除kern外的其他任何設施的任何日志消息；kern.!=err kern設施從info到warning之間的日志消息syslog.conf 具體示例Unix/Linux的系統(tǒng)日志syslogSyslo

6、gd提供了如下的記錄動作 (action)。文件名 寫入某個文件，注意文件名要帶絕對路徑。 命名管道（fifo）， |程序 通過管道轉發(fā)給某個程序，程序文件名要帶絕對路徑。 /dev/console 發(fā)送到本地機器終端和控制臺上hostname 或 IP地址 轉發(fā)給另外一臺遠程主機的syslogd程序用戶列表* 發(fā)送到所有用戶的終端上 Syslog反映的Unix/Linux事件舉例Unix/Linux系統(tǒng)內核產(chǎn)生的0-7級，以及相關的硬件問題Unix/Linux網(wǎng)絡部分產(chǎn)生的0-7級Unix/Linux的安全模塊部分，如iptable，access controlUnix/Linux的高可用性

7、部分產(chǎn)生的0-7級Unix/Linux的“設備”及其設備驅動程序的0-7級Unix/Linux的各類系統(tǒng)daemon產(chǎn)生的0-7級，如SNMP模塊Unix/Linux的系統(tǒng)服務模塊，如WWW,DNS,MAIL.Unix/Linux的第三方和應用系統(tǒng)，如tripwire, snort，checkpoint,.Unix/Linux的系統(tǒng)管理過程中產(chǎn)生的syslogUnix/Linux的用戶開發(fā)程序使用syslog API 產(chǎn)生的日志Syslog反映的Unix/Linux事件舉例安全方面，主機系統(tǒng)安全評估、主機管理、入侵跟蹤和取證主機和存儲、高可用系統(tǒng)的故障診斷，分析，定位，長期跟蹤系統(tǒng)的運行情況，

8、將定期的主機系統(tǒng)健康檢查，變成實時的跟蹤和觀察，并可以定制警報，在條件滿足時通過多種方式通知系統(tǒng)管理員，無論管理員在哪里。系統(tǒng)管理，如登陸、文件系統(tǒng)滿、系統(tǒng)重新/意外啟動、文件系統(tǒng)unmout/mount，主機的訪問，設備的增加減少，系統(tǒng)核心參數(shù)的改變，核心的配置不合理等等，可以說保羅萬象Syslog反映的Unix/Linux事件舉例硬件方面 (CPU, Raid Controllers, Memory)磁盤陣列控制器配置的改變可影響磁盤讀取操作的響應時間內存奇偶校驗的失敗可導致操作系統(tǒng)崩潰 CPU 風扇不能正常工作導致高溫會使CPU間歇性重啟操作系統(tǒng)方面 (Device Drivers, M

9、emory Allocation, Disk Access Manager)設備驅動程序的內存泄漏可導致“臟”的或不可用的內存塊，影響內存分配和使用率 磁盤碎片影響邏輯磁盤的存取時間，不能有效對應用程序進行置換 低質量的多線程應用導致 CPU 使用率太高Syslog反映的Unix/Linux事件舉例HP MC/ServiceGuard的進程，共有八個守候進程與 ServiceGuard 有關/usr/lbin/cmlogdServiceGuard 系統(tǒng)日志記錄守候進程，將HP雙機系統(tǒng)工作的日志、故障警報日志通過syslog記錄其它的Unix/Linux，無論是否通過硬件實現(xiàn)雙機結構，都通過sy

10、slog記錄發(fā)生的事件Syslog反映的Unix/Linux事件舉例Unix/Linux核心和硬件核心，以System V風格的Unix系統(tǒng)為例，64個左右的系統(tǒng)調用和實現(xiàn)構成的集合就是核心的主體64個系統(tǒng)調用，大約產(chǎn)生的核心方面的問題有64*8（0-7）類！通過系統(tǒng)調用，就是核心同計算機硬件溝通每個系統(tǒng)調用，system_call都會產(chǎn)生syslog信息，特別是有系統(tǒng)故障和報警時候，如系統(tǒng)資源方面的問題。所有的程序都需要system_call存取權限錯誤。記帳程序，如用戶登陸、系統(tǒng)使用文件系統(tǒng)的多少等都會通過syslog反映，如使用su,login,logout等Syslog反映的Unix/

11、Linux事件舉例系統(tǒng)調用fork產(chǎn)生syslog舉例進程創(chuàng)建失敗，無論邏輯和物理方面的原因系統(tǒng)調用mount/unmount失敗系統(tǒng)調用read/write/open的任何問題文件系統(tǒng)引導塊故障警報文件系統(tǒng)超級塊故障警報文件系統(tǒng)索引節(jié)點問題IPC進程間通訊問題系統(tǒng)核心被編譯，系統(tǒng)被重新啟動及其啟動時的問題Syslog反映的Unix/Linux事件舉例系統(tǒng)交換區(qū)問題，如改變，交換區(qū)資源耗盡系統(tǒng)使用異步I/O時產(chǎn)生的任何問題進程意外中止，進程死鎖，進程改變優(yōu)先級文件系統(tǒng)檢查時的任何問題進程被睡眠時的任何問題，包括無法喚醒系統(tǒng)數(shù)據(jù)緩存和高速緩存問題，包括鎖故障系統(tǒng)管道故障方面的問題分配磁盤塊方面的

12、問題釋放索引節(jié)點方面問題文件系統(tǒng)數(shù)據(jù)塊的改變，如大小Syslog反映的Unix/Linux事件舉例文件系統(tǒng)指派新索引節(jié)點問題系統(tǒng)軟中斷和硬中斷的問題程序核心態(tài)和用戶態(tài)轉換方面的問題字符設備故障問題，如終端等等塊設備故障問題，如磁帶機，磁盤等等Make/cc/link等編譯器問題Link死鎖，文件系統(tǒng)一致性方面問題系統(tǒng)調用過程問題進程上下文切換問題文件系統(tǒng)和文件備份，如cpio, dd, dump, tar等問題Syslog反映的Unix/Linux事件舉例地址空間意外錯誤，如溢出，伸縮，重疊等進程地址空間管理問題進程優(yōu)先級意外錯誤方面問題父進程和子進程共享文件處理的問題軟中斷信號處理錯誤問題，

13、如調度，用戶態(tài)和核心態(tài)轉換，內存緊張不足等系統(tǒng)捕獲軟中斷信號方面的問題，信號丟失，阻斷等Setuid/setgid方面的問題系統(tǒng)shell出錯問題系統(tǒng)init自舉時的意外，gettty的意外，進程wait/nowait意外重要文件的意外改變如/etc/inittab，導致系統(tǒng)引導問題進程換入換出意外Syslog反映的Unix/Linux事件舉例系統(tǒng)請求調頁錯誤，如系統(tǒng)調用exec偷頁進程（page stealer）意外問題和頁面錯誤系統(tǒng)信號量方面的問題打印系統(tǒng)方面問題，包括帶syslog功能的打印機任何寫在/etc/services中的服務程序，包括用戶自己開發(fā)的程序需要配置/etc/inet

14、d.conf, /etc/protocol,/etc/services記錄telnet, ftp,ssh,.的日志，包括8個級別配置參考文檔，需要重新啟動inetd這個超級服務程序記錄任何基于網(wǎng)絡的服務連接情況日志增強的inetd, xinetd加強了日志的功能，并整合到unix/linux系統(tǒng)中，并代替inetdSyslog反映的Unix/Linux事件舉例Scsi ，RAID子系統(tǒng)方面的故障信息，如scsi cable問題任何“設備文件”的故障信息，如/dev/klog, /etc/tty任何后臺進程的意外情況，如inetd本身通過snmpd daemon產(chǎn)生的系統(tǒng)性能方面的信息和故障Sy

15、slog反映的Unix/Linux事件舉例Telnet的session信息，問題等Ftp的session信息，問題Ssh的session信息，問題Dns方面的工作和故障問題，如/etc/named, bindNfs工具和相應的網(wǎng)絡文件系統(tǒng)的問題Ldap服務方面的問題郵件服務器，如sendmail, qmail等的交易日志，故障等Web服務器，如apache, tomcat等的交易日志，故障Syslogd本身的日志Syslog反映的Unix/Linux事件舉例Tripwire產(chǎn)生的工作和故障，反映系統(tǒng)文件的變動CA access control核心防護軟件產(chǎn)生的信息Unix防病毒軟件產(chǎn)生的日志代

16、理服務器，如squid產(chǎn)生的交易和故障TCP Wrapper工具產(chǎn)生的日志，通過tcpdSnort IDS軟件產(chǎn)生的syslog數(shù)據(jù)庫的后臺進程和各類中間件（依賴于具體情況）任何軟件升級（包括OS），補丁，安裝，卸載的情況，補丁引起的各種問題硬件的改變，增加、減少Unix/Linux的系統(tǒng)日志syslog不是所有的日志都有syslogd記錄與syslog無關的系統(tǒng)記錄：wtmp、utmp、lastlog、pacct等，系統(tǒng)核心記錄了一些與使用者帳號存取有關的信息。應用程序運行日志， 如Apache Server的access.log及error.log等。網(wǎng)絡設備的syslog配置Cisco設

17、備syslog配置操作device#conf t device(config)#logging on device(config)#logging a.b.c.d /日志服務器的IP地址 device(config)#logging facility local1 /facility標識, RFC3164 規(guī)定的本地設備標識為 local0 - local7 device(config)#logging source-interface e0 /日志發(fā)出用的源IP地址 device(config)#service timestamps log datetime localtime /日志記錄的

18、時間戳設置，可根據(jù)需要具體配置 device#sh logging /檢查配置網(wǎng)絡設備的syslog配置華為設備syslog配置操作【命令】undo info-center loghost loghost-number ip-address port local0 | | local7 English | Chinese emergencies | alerts | critical | errors | warnings |notifications | informational | debugging filter facility1 facility2 【參數(shù)】 loghost-number：指示選擇一臺Unix 主機，取值范圍為09。ip-address：指定Unix 主機的IP 地址，為點分