本文将提供日志收集和分析的简要概述,
高级日志处理:如何处理犯罪记录 (1)
。具体而言,将着重于三个基本问题:日志传输、日志收集和日志分析。同样会涉及到简单的日志存储和归档。编写此文的目的在于,紧接着《法庭现场分析存留的Linux系统》的日志处理再次进一步地论述。日志传输
~~~~~~~~~
首先,让我们看看日志传输。对于传统的UNIX日志传输机制是UDP,514端口。日志消息发送和接收有系统日志守护进程来完成。网络安全设备(不仅是基于UNIX)还经常使用UDP记录。此方法最突出的问题是什么呢?信息可以被注入,悄悄地放弃(或更换)和传送延迟。此外,也没有确认发送或加密机制。考虑到这些问题,这样就很清楚了,UDP记录对于高度安全的环境是不适合的,除非收集的资料是一个单独的网络日志。
首先,有一个可靠的系统日志传输标准。最简单的方法是登录本地并定期复制到一个SSH服务器。有一些可用的自动方式来操作,如下所示:
1. 转储日志 - logrotate
2. 压缩 - gzip
3. 应用校验和算法 - md5sum
4. 从主机复制日志到服务器 - scp
5. 再次运行md5sum并进行比较
6. 在安全的地方存储日志文件并校验(很可能已加密)
不过,这种方法最明显的缺陷就是时间延迟。不同的是基于UDP的系统日志,该日志复制方法允许日志之间的生成和安全储存以及分析。有时需要立即看到至关重要的日志文件。
有一种方法能够即时访问日志,那就是隧道。使用Netcat可以通过安全隧道UDP通过重定向syslog到TCP隧道,
电脑资料
《高级日志处理:如何处理犯罪记录 (1)》(https://www.unjs.com)。基本步骤如下所示:生成日志的主机:
1. 编辑/etc/syslog.conf:
*.* @localhost
2. 运行命令:
# nc -l -u -p 514 | cryptcat 10.2.1.1 9999
收集日志的主机:
1. 远程接收syslog
2. 运行命令:
# cryptcat -l -p 9999 | nc -u localhost 514
另外,Stunnel的SSL封包,可应用于Cryptcat。
如果不满意临时隧道解决方案,或者需要更高的安全性(如更高的发送确认或加密日志的完整性验证),这可能是考虑syslog替代品的时候了。我们将看看两个众所周知的替代品:由BalabIT开发的syslog-ng和CORE SDI开发的msyslog。(还有第三个选择,由Darren Reed编写的nsyslog,但似乎没有积极地更新了。)它们的共同特征包括TCP通道、更多过滤功能(除了标准的严重程度和系统日志设施)和日志文件的完整支持。
msyslog
在TCP模式安装工作需要涉及到主机上的情况,如下所示:
客户端:
1. 修改/etc/syslog.conf
*.* %tcp -a -h loghost -p 514 -m 30 -s 8192
代替
*.* @loghost
2. 运行msyslogd -i linux -i unix,仅仅运行/etc/init.d/msyslog start即可完成。
服务器:
1. 运行msyslogd -i linux -i unix -