一:原理:
日志对于系统的安全来说非常重要,它记录了系统每天发生的各种各样的事情,用户可以通过它来检查错误发生的原因,或者寻找受到攻击时
攻击者留下的痕迹。日志主要的功能是审计和监测。它还可以实时地监测系统状态,监测和追踪侵入者。日志也是用户应该注意的地方之一。
不要低估日志文件对网络安全的重要作用,因为日志文件能够详细记录系统每天发生的各种各样的事件。用户可以通过日志文件检查错误产生
的原因,或者在受到攻击和黑客入侵时追踪攻击者的踪迹。日志的两个比较重要的作用是:审核和监测。配置好的Linux的日志非常强大。对
于Linux系统而言,所有的日志文件都在/var/log下。如果有多台服务器的日志需要管理,那么就需要架构日志服务器,方便管理多台服务器日志。
二:案例一:使用Windows作为日志服务器,linux作为应用服务器。(本例中用dhcp服务器作为日志说明,windows server 2003作
为获得dhcp地址的测试机。说明:Windows上使用第三方软件kiwi syslog7.2)
1:首先将第三方软件kiwi syslog7.2在windows主机上安装
2:[root@lyt ~]# vim /etc/syslog.conf #编辑Linux主机/etc/syslog.conf文件,如图:
3:[root@lyt ~]# mkdir /mnt/cdrom #创建挂载点
[root@lyt ~]# mount /dev/cdrom /mnt/cdrom/ #将光盘挂载至/mnt/cdrom
[root@lyt ~]# cd /mnt/cdrom/Server/ #切换至该目录,安装dhcp服务器
4:[root@lyt Server]# vim /etc/dhcpd.conf #编辑dhcp服务器脚本
然后按下enter,配置dhcpd.conf,如图:
5:[root@lyt Server]# service dhcpd restart #重启dhcp服务器
6:测试
windows server 2003 已经得到ip地址,如图:
windows主机上的日志服务器显示如下:
案例二:使用Linux1主机作为日志服务器,在Linux2主机架构dhcp服务器作为测试日志,windows server 2003作为dhcp获得地址的测试机
1:首先为Linux2主机分配静态ip地址
2:[root@lyt ~]# service network restart #重启network服务
3:为Linux1主机分配静态ip地址
4:[root@lyt ~]# service network restart #重启network服务
[root@localhost ~]# vim /etc/sysconfig/syslog #编辑该文件
5:[root@localhost ~]# tail -f /var/log/messages #在Linux1主机上动态查看日志变化,-f表示动态
6:测试:
windows server 2003 获得了ip地址如下:
Linux主机1的日志变化:
