网络环境日志分类-infor企业资产管理(infor eam)解决方案概览

时间:2024-07-12 00:24:31
【文件属性】:

文件名称:网络环境日志分类-infor企业资产管理(infor eam)解决方案概览

文件大小:7.41MB

文件格式:PDF

更新时间:2024-07-12 00:24:31

日志分析

1.1 网络环境日志分类 本书把网络环境中各种复杂的日志分为三类:操作系统日志(UNIX/Linux,Windows 等)、网络设备日志(路由交换设备、安全设备)、应用系统日志(Web 等各种网络应用)。 本节仅对各种系统日志做一个分类,其细节在 1.2节~1.14节中讲解。 1.1.1 UNIX/Linux 系统日志 UNIX/Linux的系统日志能细分为三个日志子系统: (1)登录时间日志子系统:登录时间日志通常会与多个程序的执行产生关联,一般情况 下,将对应的记录写到/var/log/wtm 和/var/run/utmp 中。为了使系统管理员能够有效地跟踪谁 在何时登录过系统,一旦触发 login等程序,就会对 wtmp 和 utmp 文件进行相应的更新。本 书中很多网络取证案例都会涉及这两个登录文件。 (2)进程统计日志子系统:主要由系统的内核来实现完成记录操作。如果一个进程终 止,系统就能够自动记录该进程,并在进程统计的日志文件中添加相应的记录。该类日志能 够记录系统中各个基本的服务,可以有效地记录与提供相应命令在某一系统中使用的详细统 计情况。 (3)错误日志子系统:其主要由系统进程 syslogd(新版 Linux 发行版采用 rsyslogd 服 务)实现操作。它由各个应用系统(例如 Http、Ftp、Samba 等)的守护进程、系统内核来 自动利用 syslog 向/var/log/messages 文件中进行记录添加,用来向用户报告不同级别的事件 (第 3章将详细讲解这部分内容)。 UNIX/Linux系统的主要日志文件格式表述如下: (1)基于 syslogd的日志文件。该类型主要采用 Syslog协议和 POSIX标准进行定义,其 日志文件的内容通常以 ASCII 文本形式存在,一般由以下几部分组成:日期、时间、主机 名、IP地址和优先级等。syslog优先级可以分为 0、1、2、3、4、5、6和 7级共 8个级别, 每个级别对应不同的核心程序所产生的日志。 1.1 网络环境日志分类


网友评论