日誌對於網路安全來說非常重要,他記錄了系統每天發生的各種各樣的事情,你可以通過他來檢查錯誤發生的原因,或者受到攻擊時攻擊者留下的痕跡。路由器是各種資訊傳輸的樞紐,被廣泛用於企事業單位的網路建設中,承擔著區域網之間及區域網與廣域網之問連線的重任。下面由小編來談談如何看路由器日誌。
Cisco是目前使用比較廣泛的一種路由器,在許多行業系統中有非常普遍的應用。以下是筆者在日常工作中積累的一些對Cisco路由器日誌設定方面的經驗,這些例項都在實際應用中除錯通過並投入使用,供大家參考。 路由器的一些重要資訊可以通過syslog機制在內部網路的Unix主機上作日誌。在路由器執行過程中,路由器會向日志主機發送包括鏈路建立失敗資訊、包過濾資訊等等日誌資訊,通過登入到日誌主機,網路管理員可以瞭解日誌事件,對日誌檔案進行分析,可以幫助管理員進行故障定位、故障排除和網路安全管理。
1、syslog裝置
首先介紹一下syslog裝置,它是標準Unix,的跟蹤記錄機制,syslog可以記錄本地的一些事件或通過網路記錄另外一個主機上的事件,然後將這些資訊寫到一個檔案或裝置中,或給使用者傳送一個資訊。syslog機制主要依據兩個重要的檔案:/etc/syslogd(守護程序)和 /etc /配置檔案,syslogd的控制是由/etc/來做的。檔案指明 syslogd程式記錄日誌的行為,該程式在啟動時查詢配置檔案。該檔案由不同程式或訊息分類的單個條目組成,每個佔一行。對每類訊息提供一個選擇域和一個動作域。這些域由tab隔開(注意:只能用tab鍵來分隔,不能用空格鍵),其中選擇域指明訊息的型別和優先順序;動作域指明 sysloqd接收到一個與選擇標準相匹配的訊息時所執行的動作。每個選項是由裝置和優先順序組成。也就是說第一欄寫"在什麼情況下"及 "什麼程度"。然後用TAB鍵跳到下一欄繼續寫 "符合條件以後要做什麼"。當指明一個優先順序時,syslogd將記錄二個擁有相同或更高優先順序的訊息。每行的行動域指明當選擇域選擇了一個給定訊息後應該把他傳送到哪兒。
第一欄包含了何種情況與程度,中間用小數點分隔。詳細的設定方式如下:
auth 關於系統安全與使用者認證;
cron關於系統自動排序執行(CronTable);
daemon 關於背景執行程式;
ken 關於系統核心;
Ipr 關於印表機;
mai1 關於電子郵件;
news 關於新聞討論區;
syslog 關於系統記錄本身;
user 關於使用者;uucp關於UNIX互拷(UUCP)。
2、什麼程度才記錄
如你要系統去記錄info等級的事件,則notice、err、warning、Crit、alert、emerg等在info等級以上的也會被一併記錄下來。把上面所寫的1、2項以小數點組合起來就是完整的"要記錄哪些東西"的寫法。例如表示關於電子郵件傳送系統的一般性資訊。 g就是關於系統安全方面相當嚴重的資訊。表示不要記錄關於印表機的資訊(通常用在有多個紀錄條件時組合使用)。另外有三種特殊的符號可供應用:
星號(*):代表某一細項中所有專案。例如mail.*表示只要有關mail的,不管什麼程度都要記錄下來。而*會把所有程度為infn的事件給記錄下來。 等號(=):表示只記錄目前這一等級,其上的等級不要記錄。例如上面的例子,平常寫下info等級時,也會把位於info等級上面的 ing、crit、alert、emerg等其他等級也記錄下來。但若你寫=info則就只有記錄info這一等級了。 驚歎號(!):表示不要記錄目前這一等級及其上的等級。
3、記錄存放的位置
sysloqd提供下列方法供您記錄系統發生的事件:
這是最普遍的方式。你可以指定好檔案路徑與檔案名稱,但是必須以目錄符號"/"開始,系統才會知道這是一個檔案。例如/var/adm/maillog表示要記錄到/var/adm下面一個稱為maillog的檔案。如果之前沒有這個檔案,系統會自動產生一個。
指定的終端機或其他裝置
你也可以將系統記錄寫到一個終端機或是裝置上。若將系統記錄寫到終端機,則目前正在使用該終端機的`使用者就會直接在螢幕上看到系統資訊(例如 /dev /conso舊或是/dev/tty1,你可以拿一個螢幕專門來顯示系統資訊)。若將系統記錄寫到印表機(例如/dev/!p0)。,則你會有一長條印滿系統記錄的紙,這樣網路入侵者就不能修改日誌來隱藏入侵痕跡。
指定的遠端主機
如果你不將系統資訊記錄在本地機器上,你可以寫下網路中另一個主機的名稱,然後在主機名稱前面加上"@"符號(例如(@),但被你指定的主機上必須要有sysloqd)。這可以防止由於硬碟錯誤等情況使日誌檔案丟失。
以上就是syslog各項記錄程度及記錄方式的寫法,可以依照自己的需求記錄下自己所需要的內容。但是這些記錄都是一直追加上去的,除非將檔案自行刪除掉,否則這些檔案就會越來越大。Syslog裝置是一個網路攻擊者的顯著目標,通過修改日誌來隱藏入侵痕跡,因此我們要特別注意。最好養成每週(或更短的時間)定期檢查一次記錄檔案的習慣,並將過期的記錄檔案依照流水號或是日期備份,以後查閱時也比較容易。千萬不要記錄下*.*,這樣無論什麼都被記錄下來,結果會導致檔案太大,要找資料時根本無法馬上找出來。有人在記錄網路日誌時,連誰去ping他的主機都要記錄,這樣不僅降低系統效率而且增加了磁碟用量。