crit重要情况,如硬盘错误
alert 应该被立即改正的问题,如系统数据库破坏
emerg(panic) 紧急情况
记录行为(举例)描述
/dev/console发送消息到控制台
/var/adm/messages把消息写到文件/var/adm/messages
@loGhost把消息发到其它的日志记录服务器
fred,user1传送消息给用户
*传送消息给所有的在线用户有个小命令logger为syslog系统日志文件提供一个shell命令接口,使用户能创建
日志文件中的条目 。用法:logger 例如:logger This is a test!【UNIX入侵检测】它将产生一个如下的syslog纪录:Apr 26 11:22:34 only_you: This is a test!更详细的帮助信息请man syslogd,man syslog.conf3.Logcheck3.1 logcheck介绍Logcheck是一软件包,用来实现自动检查日志文件,以发现安全入侵和不正常的活
动 。Logcheck用logtail程序来记录读到的日志文件的位置,下一次运行的时候从记录
下的位置开始处理新的信息 。所有的源代码都是公开的,实现方法也非常简单 。Logcheck SHELL脚本和logtail.c程序用关键字查找的方法进行日志检测 。在这儿
提到的关键字就是指在日志文件中出现的关键字,会触发向系统管理员发的报警信息 。
Logcheck的配置文件自带了缺省的关键字,适用于大多数的*inx系统 。但是最好还是自
己检查一下配置文件,看看自带的关键字是否符合自己的需要 。Logcheck脚本是简单的SHELL程序,logtail.c程序只调用了标准的ANSI C函数 。
Logcheck要在cron守护进程中配置,至少要每小时运行一次 。脚本用简单的grep命令来
从日志文件检查不正常的活动,如果发现了就发MAIL给管理员 。如果没有发现异常活
动,就不会收到MAIL 。3.2 安装和配置logcheck3.2.1 下载Logcheck下载网址 下载后放在/backup目录 。3.2.2 安装以root用户身份登录,[root@only_you /root]# tar zxvf /backup/logcheck-1.1.1.tar.gz
[root@only_you /root]# cd logcheck-1.1.1
[root@only_you logcheck-1.1.1] make Linux //在Linux平台下使用
make install SYSTYPE=linux //缺省安装目录是/usr/local/etc
make[1]: Entering Directory `/root/logcheck-1.1.1'
Making linux
cc -O -o ./src/logtail ./src/logtail.c
Creating temp directory /usr/local/etc/tmp //在/usr/local/etc下创建目录
tmp
Setting temp directory permissions
chmod 700 /usr/local/etc/tmp
Copying files
cp ./systems/linux/logcheck.hacking /usr/local/etc //拷贝文件到
/usr/local/etc目录
cp ./systems/linux/logcheck.violations /usr/local/etc
cp ./systems/linux/logcheck.violations.ignore /usr/local/etc
cp ./systems/linux/logcheck.ignore /usr/local/etc
cp ./systems/linux/logcheck.sh /usr/local/etc
cp ./src/logtail /usr/local/bin //把logtail程序拷贝到/usr/local/bin目录
Setting permissions
chmod 700 /usr/local/etc/logcheck.sh //logcheck的脚本
chmod 700 /usr/local/bin/logtail //修改文件访问权限,确认只有root用户才
能操作
chmod 600 /usr/local/etc/logcheck.violations.ignore //不同的配置文件
chmod 600 /usr/local/etc/logcheck.violations
chmod 600 /usr/local/etc/logcheck.hacking3.2.3 程序文件介绍logcheck.sh 主脚本文件 。控制所有的处理过程,用grep命令检查日志文件,发现
问题报告系统管理员 。由cron定时启动 。logtail 记录日志文件上次处理到的位置 。被logcheck程序调用,避免重复处理已
处理过的日志文件 。所有的日志文件都由此程序处理,在同一目录下会产生文件
推荐阅读
- 在UNIX 系统下得到字符点阵信息
- UNIX进程之间的通信
- 2 SCO UNIX讲座
- SCO UNIX系统故障特征、分析及解决
- 在Unix终端上实现多屏功能
- 口令篇 UNIX系统的安全
- unixware和unix openserver比较二
- Cisco路由器配置信息在Unix下的备份、恢复与更新
- SCO UNIX基础讲座--第十二讲:使用 TCP/IP
- UNIX操作系统tar命令之隐患及解决方法