Cara menjalankan pengurusan log dan pengauditan dalam sistem Linux
Ikhtisar:
Dalam sistem Linux, pengurusan log dan pengauditan adalah sangat penting. Melalui pengurusan log yang betul dan strategi pengauditan, operasi sistem boleh dipantau dalam masa nyata, masalah boleh ditemui tepat pada masanya dan langkah-langkah yang sepadan boleh diambil. Artikel ini akan memperkenalkan cara melaksanakan pengurusan log dan pengauditan pada sistem Linux, dan menyediakan beberapa contoh kod khusus untuk rujukan.
1. Pengurusan log
1.1 Peraturan lokasi dan penamaan fail log
Dalam sistem Linux, fail log biasanya terdapat dalam direktori /var/log. Sistem dan aplikasi yang berbeza menjana fail log mereka sendiri, jadi anda boleh melihat fail log yang sesuai seperti yang diperlukan. Fail log biasa termasuk:
Untuk membezakan fail log dengan lebih baik, anda boleh menggunakan peraturan penamaan, seperti menambah maklumat tarikh dan nama hos pada nama fail log.
Contoh kod:
filename=`date +%Y-%m-%d`_`hostname`.log
1.2 Tetapkan putaran log
Untuk mengelakkan fail log menjadi terlalu besar, anda boleh menetapkan peraturan putaran log. Dalam sistem Linux, alat penggiliran log yang biasa digunakan ialah logrotate. Dengan mengkonfigurasi logrotate, fail log boleh disandarkan atau dimampatkan dengan kerap, dan kemudian fail log baharu boleh dibuat.
Kod contoh:
Buat fail konfigurasi logrotate /etc/logrotate.d/mylog dan konfigurasikan peraturan putaran:
/var/log/mylog { monthly rotate 4 compress missingok notifempty }
Nota: Konfigurasi di atas menunjukkan bahawa fail log diputar sekali sebulan dan 4 sandaran terkini dikekalkan ; mampatan dilakukan semasa putaran ; Abaikan jika fail log tidak wujud;
1.3 Gunakan alat pemantauan log
Untuk memantau maklumat log dengan lebih mudah dalam masa nyata, anda boleh menggunakan beberapa alatan pemantauan log. Alat pemantauan log yang biasa digunakan termasuk Logcheck dan Logwatch. Alat ini boleh menyemak fail log dengan kerap dan kemudian menghantar maklumat log utama kepada pentadbir melalui e-mel.
2. Audit
2.1 Konfigurasikan peraturan audit
Sistem Linux menyediakan sistem audit (sistem audit), yang boleh merekodkan peristiwa berkaitan keselamatan dalam sistem. Dengan mengkonfigurasi peraturan audit, peristiwa penting dalam sistem boleh direkodkan dalam masa nyata, seperti akses fail, perubahan kebenaran, log masuk, dsb.
Kod contoh:
Buat peraturan audit:
auditctl -w /etc/shadow -p w -k shadow_changes
Arahan: Dalam contoh di atas, peraturan audit dikonfigurasikan untuk memantau perubahan dalam kebenaran tulis fail /etc/shadow Jika perubahan berlaku, peristiwa audit akan direkodkan dan kata kunci ditetapkan kepada shadow_changes.
2.2 Lihat log audit
Sistem audit akan merekodkan semua peristiwa audit dan menyimpannya dalam fail /var/log/audit/audit.log. Anda boleh melihat kandungan log audit melalui arahan aureport.
Kod contoh:
Lihat semua acara audit:
aureport
2.3 Menggunakan alatan audit
Untuk melihat dan menganalisis log audit dengan lebih mudah, anda boleh menggunakan beberapa alatan audit. Alat audit yang biasa digunakan termasuk AIDE dan OSSEC-HIDS. Alat ini memantau sistem anda untuk acara keselamatan dalam masa nyata dan menyediakan keupayaan pelaporan dan amaran.
Kesimpulan:
Dengan pengurusan log dan strategi pengauditan yang betul, anomali sistem dan isu keselamatan boleh ditemui dalam masa. Dalam aplikasi sebenar, pengurusan log dan peraturan audit boleh dikonfigurasikan mengikut keperluan khusus, dan alat yang sepadan boleh digunakan untuk pemantauan dan analisis. Melalui pengurusan log dan pengauditan, keselamatan dan kestabilan sistem boleh dipertingkatkan.
Atas ialah kandungan terperinci Bagaimana untuk melaksanakan pengurusan log dan pengauditan pada sistem Linux. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!