【文件属性】：
文件名称：网络环境日志分类-infor企业资产管理（infor eam）解决方案概览
文件大小：7.41MB
文件格式：PDF
更新时间：2021-06-22 06:37:51
日志分析 1.1 网络环境日志分类 本书把网络环境中各种复杂的日志分为三类：操作系统日志（UNIX/Linux，Windows 等）、网络设备日志（路由交换设备、安全设备）、应用系统日志（Web 等各种网络应用）。 本节仅对各种系统日志做一个分类，其细节在 1.2节～1.14节中讲解。 1.1.1 UNIX/Linux 系统日志 UNIX/Linux的系统日志能细分为三个日志子系统： （1）登录时间日志子系统：登录时间日志通常会与多个程序的执行产生关联，一般情况 下，将对应的记录写到/var/log/wtm 和/var/run/utmp 中。为了使系统管理员能够有效地跟踪谁 在何时登录过系统，一旦触发 login等程序，就会对 wtmp 和 utmp 文件进行相应的更新。本 书中很多网络取证案例都会涉及这两个登录文件。 （2）进程统计日志子系统：主要由系统的内核来实现完成记录操作。如果一个进程终 止，系统就能够自动记录该进程，并在进程统计的日志文件中添加相应的记录。该类日志能 够记录系统中各个基本的服务，可以有效地记录与提供相应命令在某一系统中使用的详细统 计情况。 （3）错误日志子系统：其主要由系统进程 syslogd（新版 Linux 发行版采用 rsyslogd 服 务）实现操作。它由各个应用系统（例如 Http、Ftp、Samba 等）的守护进程、系统内核来 自动利用 syslog 向/var/log/messages 文件中进行记录添加，用来向用户报告不同级别的事件 （第 3章将详细讲解这部分内容）。 UNIX/Linux系统的主要日志文件格式表述如下： （1）基于 syslogd的日志文件。该类型主要采用 Syslog协议和 POSIX标准进行定义，其 日志文件的内容通常以 ASCII 文本形式存在，一般由以下几部分组成：日期、时间、主机 名、IP地址和优先级等。syslog优先级可以分为 0、1、2、3、4、5、6和 7级共 8个级别， 每个级别对应不同的核心程序所产生的日志。 1.1 网络环境日志分类