日志管理系统介绍（日志管理系统功能）

什么是系统日志

系统日志是记录系统中硬件、软件和系统问题的信息，同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因，或者寻找受到攻击时攻击者留下的痕迹。系统日志包括系统日志、应用程序日志和安全日志。

一：查看系统日志的方法

1.开始→设置→控制面板→管理工具 中找到的“事件查看器”，

2.或者在【开始】→【运行】→输入 eventvwr.msc 也可以直接进入“事件查看器”在“事件查看器”当中的系统日志中包含了windows XP 系统组建记录的事件，在启动过程中加载驱动程序和其他一些系统组建的成功与否都记录在系统日志当中。

二：系统日志的作用和价值

1.系统日志策略可以在故障刚刚发生时就向你发送警告信息，系统日志帮助你在最短的时间内发现问题。

2.系统日志是一种非常关键的组件，因为系统日志可以让你充分了解自己的环境。这种系统日志信息对于决定故障的根本原因或者缩小系统攻击范围来说是非常关键的，因为系统日志可以让你了解故障或者袭击发生之前的所有事件。为虚拟化环境制定一套良好的系统日志策略也是至关重要的，因为系统日志需要和许多不同的外部组件进行关联。良好的系统日志可以防止你从错友汪误的角度分析问题，避免浪费宝贵的排错时间。另外一种原因是借助于系统日志，管理员很有可能会发现一些之前从未意识到的问题，在几乎所有刚刚部署系统日志的环境当中。

3.使用系统日志产品当中包含的其他特性，包括向监控团队自动发送报警通知等功能。系统日志基于警报类型或者准确的警报消息，系统日志可以通过触发特定操作来完成。系统日志通过简单地设定这些警报，你将会在自己的环境中处于更加主动的位置，因为你可以在事故变得更加严重之前得到通知。

三.系统日志的特点

这个文件由系统管理，并加以保护，一般情况下普通用户不能随意更改。我们不能用针对普通TXT文件的编辑方法来编辑它。例如WPS系列、Word系列、写字板、Edit等等，都奈何它不得。我们甚至不能对它进行“重命名”或“删除”、“移动”操作，否则系统就会很不客气告诉你:访问被拒绝。当然，在纯DOS的状态下，可以对它进行一些常规操作(例如Win98状态下)，但是你很快就会发现，你的修改根本就无济于事，当重衡告腔新启动Windows 98时，系统将会自动检查这个特殊的文本文件，若不存在就会自动产生一个；若存在的话，将向该文本追加日志记录。

四.系统日志分类

在“事件查看器”窗口中包括三种类型的日志记录事件：

1·应用程序日志：记录应用程序或一般程序的事件。

2·安全性日志：可以记录例如有效和无效的登录尝试等安全事件，以及与资源使用有关的事件。例如创建、打开或删除文件以及有关设置的修改。

3·系统日志：包含由Windows XP 系统组件记录的事件，例如，在系统日志中记录启动期间要加载的驱动程序或其他系统组件的故障。

所谓日志（Log）是指系统所指定对象的某些操作和其操作结果按时间有序的集合。每个日志文件由日志记录组成，每条日志记录描述了一次单独的系统事件。通常情况下，系统日志是用户可以直接阅读的文本文件，其中包含了一个时间戳和一个信息或者子系统所特有的其他信息。日志文件为服务器、工作站、防火墙和应用软件等IT资源相关活动记录必要的、有价值的信息，这对系统监控、查询、报表和安全审计是十分重要的。日志文件中的记录可提供以下用途：监控系统资源；审计用户行为；对可疑行为进行告警；确定入侵行为的范围；为恢复系统提供帮助；生成调查报告；为打击计算机犯罪提供证据来源咐衫。

win查看及管理系统日志的方法

对于平时来说，大多用户都不会去在乎什么系统日志，也不知道系统日志是用来干什么的。但是一旦系统有什么故障时，我们就要通过系统日志来查找原因，州此碧那么在win2003系统中，该怎么查看及管理系统日志呢?

远程查看Windows 2003服务器的日志记录

在远程客户端(可采用Windows 98/2000/XP/2003系统)，运行IE浏览器册举， 在地址栏中输入“服务器IP地址:8098”，如“”。在弹出的'登录对话框中输入管理扒裂员的用户名和密码，点击“确定”按钮即可登录Web访问接口管理界面。接着在“欢迎使用”界面中点击“维护”链接，切换到“维护”管理页面，然后点击“日志”链接，进入到日志管理页面。在日志管理页面中，管理员可以查看、下载或清除Windows 2003服务器日志。

在日志管理页面中可列出Windows 2003服务器的所有日志分类，如应用程序日志、安全日志、系统日志、Web管理日志等。

查看某类日志记录

以查看Web管理志为例，点击“Web管理日志”链接，进入日志查看页面，在日志文件列表框中选中要查看的日志文件，然后点击右侧的“查看日志”按钮，就能浏览Web管理日志记录中的详细内容了。

清除某个日志文件

选中该日志文件后，点击“清除”按钮即可。如果觉得远程查看日志不方便，想在本地机器中进行查看，这时可以将日志文件下载到本地硬盘。选中某个日志文件，然后点击“下载日志”按钮，在弹出的“文件下载”对话框中点击“保存”按钮并指定存放路径即可。

上述的内容就是我为大家介绍查看win2003系统日志的方法了，当系统遇到故障的时候，我们就可以通过查看系统日志来找出故障的原因了。

能否帮我解释一下，什么叫基于Linux的入侵检测系统的日志管理系统？

1.概述

入侵检测（Intrusion Detection），顾名思义，便是对入侵行为的发觉。它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统（Intrusion Detection System,简称IDS）。与其他安全产品不同的是，入侵检测系统需要更多的智能，它必须可以将得到的数据进行分析，并得出有用的结果。一个合格的入侵检测系统能大大的简化管理员的工作，保证网络安全的运行。

日志是使系统顺利运行的重要保障。它会告诉我们系统发生了什么和什么没有发生。然而，由于日志记录增加得太快了，铺天盖地的日志使系统管理员茫然无措，最终使日志成为浪费大量磁盘空间的垃圾。日志具有无可替代的价值，但不幸的是它们经常被忽略，因为系统管理员在并不充裕的时间里难以查看大量的信息。标准的日志功能不能自动过滤和检查日志记录，并提供系统管理员所需要的信息。

对于入侵者来说，要做的第一件事就是清除入侵的痕迹。这需要入侵者获得root权限，而一旦系统日志被修改，就无法追查历型哪到攻击的情况。因此，好的系统管理员应该建立日志文件检测。有很多工具可以实现日志检测的功能，其中就有Logcheck和Swatch。本文将对Logcheck和Swatch逐一进行介绍。

2.日志文件系统

审计和日志功能对于系统来说是非常重要的，可以把感兴趣的操作都记录下来，供分析和检查。UNIX采用了syslog工具来实现此功能，如果配置正确的话，所有在主机上发生的事情都会被记录下来，不管是好的还是坏的。

Syslog已被许多日志系统采纳，它用在许多保护措施中--任何程序都可以通过syslog记录事件。Syslog可以记录系统事件，可以写到一个文件或设备中，或给用户发送一个信息。它能记录本地事件或通过网络纪录另一个主机上的事件。

Syslog依据两个重要的文件：/sbin/syslogd（守护进程）和/etc/syslog.conf配置文件，习惯上，多数syslog信息被写到/var/adm或/var/log目录下的信息文件中（messages.*）。一个典型的syslog纪录包括生成程序的名字和一个文本信息。它还包括一个设备和一个行为级别（但不在日志中出现）。

/etc/syslog.conf的一般格式如下

设备.行为级别 [；设备.行为级别]

记录行为

设备

描述

auth

认证系统：login、su、getty等，即询问用户名和口令

authpriv

同LOG_AUTH，但只登录到所选择的单个用户可读的文件中

cron

cron守护进程

daemon

其他系统守护进程，如routed

kern

内核产生的消息

lpr

打印机系统：lpr、lpd

mail

电子邮件系统

news

网络新闻系统

syslog

由syslogd产生的内部消息

user

随机用户进程产生的消息

uucp

UUCP子系统

local0~local7

为本地使用保留

行为级别

描述

debug

包含调试的信息，通常旨在调试一个程序时使用

info

情报信息

notice

不是错误情况，但是可能需要处理

warn(warning)

警告信息

err(error)

错误信息

crit

重要情况，如硬盘错误

alert

应该被立即改正的问题，如系统数据库破坏

emerg(panic)

紧急情况

记录行为（举例）

描述

/dev/console

发送消息到控制台

/var/adm/messages

把消息租扒写到文件/var/adm/messages

@loghost

把消息发到其它的日志记录服务器

fred,user1

传送消息给用户

*

传送消息给所有的在线用户

有个小命令logger为syslog系统日志文件提供一个shell命令接口，使用户能创建日志文件中的条目。用法：肢码logger 例如：logger This is a test！

它将产生一个如下的syslog纪录：Apr 26 11:22:34 only_you: This is a test!

3.Logcheck

3.1 logcheck介绍

Logcheck是一软件包，用来实现自动检查日志文件，以发现安全入侵和不正常的活动。Logcheck用logtail程序来记录读到的日志文件的位置，下一次运行的时候从记录下的位置开始处理新的信息。所有的源代码都是公开的，实现方法也非常简单。

Logcheck SHELL脚本和logtail.c程序用关键字查找的方法进行日志检测。在这儿提到的关键字就是指在日志文件中出现的关键字，会触发向系统管理员发的报警信息。Logcheck的配置文件自带了缺省的关键字，适用于大多数的*inx系统。但是最好还是自己检查一下配置文件，看看自带的关键字是否符合自己的需要。

Logcheck脚本是简单的SHELL程序，logtail.c程序只调用了标准的ANSI C函数。Logcheck要在cron守护进程中配置，至少要每小时运行一次。脚本用简单的grep命令来从日志文件检查不正常的活动，如果发现了就发MAIL给管理员。如果没有发现异常活动，就不会收到MAIL。

3.2 安装和配置logcheck

3.2.1 下载Logcheck

下载网址 下载后放在/backup目录

3.2.2 安装

以root用户身份登录，

[root@only_you /root]# tar zxvf /backup/logcheck-1.1.1.tar.gz

[root@only_you /root]# cd logcheck-1.1.1

[root@only_you logcheck-1.1.1] make linux file://在Linux平台下使用

make install SYSTYPE=linux file://缺省安装目录是/usr/local/etc

make[1]: Entering directory `/root/logcheck-1.1.1'

Making linux

cc -O -o ./src/logtail ./src/logtail.c

Creating temp directory /usr/local/etc/tmp file://在/usr/local/etc下创建目录tmp

Setting temp directory permissions

chmod 700 /usr/local/etc/tmp

Copying files

cp ./systems/linux/logcheck.hacking /usr/local/etc file://拷贝文件到/usr/local/etc目录

cp ./systems/linux/logcheck.violations /usr/local/etc

cp ./systems/linux/logcheck.violations.ignore /usr/local/etc

cp ./systems/linux/logcheck.ignore /usr/local/etc

cp ./systems/linux/logcheck.sh /usr/local/etc

cp ./src/logtail /usr/local/bin file://把logtail程序拷贝到/usr/local/bin目录

Setting permissions

chmod 700 /usr/local/etc/logcheck.sh 的脚本

chmod 700 /usr/local/bin/logtail file://修改文件访问权限，确认只有root用户才能操作

chmod 600 /usr/local/etc/logcheck.violations.ignore

file://不同的配置文件

chmod 600 /usr/local/etc/logcheck.violations

chmod 600 /usr/local/etc/logcheck.hacking

3.2.3 程序文件介绍

logcheck.sh 主脚本文件。控制所有的处理过程，用grep命令检查日志文件，发现问题报告系统管理员。由cron定时启动

logtail 记录日志文件上次处理到的位置。被logcheck程序调用，避免重复处理已处理过的日志文件。所有的日志文件都由此程序处理，在同一目录下会产生文件######.offset，其中######是检查的日志文件名。文件中记录了logtail开始处理的偏移量，如果删除掉，则从文件开始处进行处理。Logcheck跟踪日志文件的inode号和文件大小，如果inode号发生变化，或者是文件大小比上次运行时的小， logtail会重置偏移量，处理整个文件

Logcheck.hacking 文件中包含了系统受到攻击时的关键字。这个文件的关键字比较稀少，除非能知道某种特定的攻击方式的特征。缺省的关键字是ISS（Internet Security Scanner）攻击产生的，或者是sendmail中的地址栏里的非法语法。在日志文件中找到了关键字就会给管理员发信。

logcheck.violations 文件中包含了产生否定或拒绝信息的系统事件。如denied，refused等。

logcheck.violations.ignore

文件中包含了要对logcheck.violations进行反向查找的关键字。

3.2.4 配置

为了使logcheck运行正常，先要对syslog.conf进行配置，你应该根据自己的需要进行配置，下面给出的只是一个例子

把下面的内容加到/etc/syslog.conf中

#记录mail，news以外的消息

*.*;mail.none;news.none -/var/log/messages

#记录认证请求

auth.*;authpriv.* /var/log/authlog

#记录所有的内核消息

kern.* /var/log/kernlog

#记录警告和错误消息

*.warn;*.err /var/log/syslog

这四个文件/var/log/messages，/var/log/authlog，/var/log/kernlog，/var/log/syslog