Administración de registros en el Sistema Linux

El registro es muy importante para la seguridad. Registra las diversas cosas que ocurren todos los días en el sistema. Puede usarlo para verificar la causa del error o el atacante cuando se le ataca. Rastros dejados atrás. Las principales funciones del registro son: auditoría y seguimiento. También monitorea el estado del sistema en tiempo real, monitorea y rastrea intrusos, etc. Entonces, ¿dónde se almacena el registro? Nuestro /var /log es la ubicación donde se almacenan los registros

Los archivos de registro comúnmente utilizados son los siguientes: btmp registra la información de denglu failures lastlog registra los eventos de los últimos inicios de sesión exitosos y los últimos mensajes de inicio de sesión fallidos registrados desde syslog Información (algunos enlaces a archivos de syslog) utmp registra cada usuario que ha iniciado sesión en wtmp system login: login logout

vista de información de inicio de sesión También podemos ver el contenido del registro de inicio de sesión a través del último comando en el que el usuario ¿Cuándo es el momento de iniciar sesión en el sistema?

 /var /log /lastlog # Última información de inicio de sesión lastlog #Registro cuando todos los usuarios hayan iniciado sesión en el sistema /var /log /btmp # Mensaje de error del sistema de inicio de sesión de usuario lastb Ver # Si encuentra que su archivo btmp se ha vuelto muy grande, significa que existe una gran posibilidad de que alguien esté pirateando a su host 
 la diferencia entre el último registro y el último: último Ver IP último registro Ver la cuenta de puerta trasera 
 
 Modo de registro de registro Tipo de registro: proceso en segundo plano del demonio kernel relacionado con el proceso Información generada por el sistema de impresión lpr authp Riv seguridad de autenticación cron cronización relacionada correo correo relacionado syslog log service noticias del sistema local 0local 7 8 clases reservadas del sistema para que otros programas utilicen o el nivel de registro definido por el usuario: debug ligera y pesada información de solución de problemas información normal Información aviso atención advertencia advertencia error error crítica crítica error alerta alerta energía emergencia 
 
 registrar servicio versión anterior rhel5 
 
 nombre de servicio syslog archivo de configuración /etc/syslog.confrhel6-7 nombre de servicio rsyslog configuración Archivo /etc/rsyslog.conf#Editar el archivo de configuración v /etc/rsyslog.conf#kern.* # Todos los niveles de los registros de tipos de kernel se almacenan en /dev/console*.info;mail.none;authpriv.none;cron.none /var /log /messages Todos los niveles de categoría son información arriba, excepto correo, authpriv, cron (demasiados registros generados, no es fácil de ver) Categoría. Authpriv de nivel. * Información de autenticación almacenada /var/log/securemail.* Relacionada con el correo Almacenamiento de información - /var /log /maillogcron. * Plan para almacenar información relacionada /var/log/cronlocal7.* Información que se muestra al iniciar - > /var/log/boot.log Nota: " - " No .: Hay más información sobre el correo, y ahora los datos se almacenan en la memoria, alcanzando cierto nivel. Tamaño, todo escrito en el disco duro. Ayuda a reducir la sobrecarga del proceso de E /S. Los datos se almacenan en la memoria. Si los datos no se cierran correctamente, los datos se eliminan. 
 Las reglas para registrar la entrada. La información sobre el nivel de información se registra en un archivo. Registre un registro igual a un cierto nivel. Ejemplo:. = Info solo registra el registro en el nivel de información. El nivel registra toda la información de nivel excepto un cierto nivel. Ejemplo.! Err Registrar todos ninguno excepto err se refiere a excluir una categoría 
 
 Personalización del registro de servicio ssh 
 
 #Editar el archivo de configuración rsyslog vi /etc/rsyslog.conf ingresando el valor 0 local. * /var/log/sshd.log # Log guardar ruta # Definir el servicio ssh Nivel de registro #edit sshd service archivo de configuración principal vim /etc /ssh /sshd_config 
 
 
 # reiniciar el servicio rsyslog (configuración efectiva) systemctl restart rsyslog # restart sshd service. Generar log systemctl restart sshd # 看看 一下 有No hay un registro correspondiente para generar 
 roll rollback. El registro en linux se revierte periódicamente. Los archivos de configuración que controlan el sistema para realizar las operaciones de rollbackback son: /etc/logrotate.conf y /etc/logrotate.d/El archivo de configuración detallado bajo este directorio. El registro es muy grande. Si deja que el registro sin restricciones sea una cosa terrible, hay cientos de megabytes de espacio en el disco ocupado por el tiempo acumulado. Si desea obtener cierta información disponible, el principio de rebobinado de la aguja es: Cuando el registro alcanza un cierto tamaño, clasificamos el registro, mantenemos una copia de seguridad del registro anterior y luego generamos un archivo con el mismo nombre para guardar el nuevo registro. 
 
 vim /etc/logrotate.conf # see " man logrotate " para obtener detalles # rotar los archivos de registro semanalmente semanalmente #? Revertir la ejecución semanal # mantener 4 semanas por valor de backlogsrotate 4 # 留 4 副本 # crear nuevos archivos de registro (vacíos) después de rotar los antiguos crear # Crear un nuevo almacén de archivos La fecha de uso del # de datos como un sufijo del archivo adjunto rotado # Use la fecha ya que el sufijo del archivo de reversión # puede ir al directorio /var /log para ver # descomprimir esto si desea que sus archivos de registro estén comprimidos # comprimir # paquetes RPM eliminar información de rotación de registro En este directorio se incluye /etc/logrotate.d# no hay paquetes propios wtmp y btmp - los rotaremos aquí /var /log /wtmp {# Archivo de registro especificado mensualmente # creado una vez por mes crear 0664 raíz utmp tamaño tamaño 1M # El archivo de registro debe ser mayor que 1M para rotar (revertir) rotar 1 # Guardar un registro de rotación} /var /log /btmp {missingok # El archivo de registro no existe y continúa procesando el siguiente archivo sin generar un mensaje de error. Crear mensualmente 0600 root utmp # Establecer utmp Los permisos de este archivo de registro, el propietario, el grupo rotar 1} 
 Del mismo modo, también podemos personalizar el registro ssh en función de la restauración del registro 
 
 vim /etc/logrotate.conf/var/log/sshd.log {missingok # Si el archivo de registro no existe, continúe procesando el siguiente archivo sin generar un mensaje de error. Crear mensualmente 0600 root utmp # usuario root, utmp group create minsize 1M rotate 1} 
 Configurar el servidor de registro remoto -> Implementar la administración del grupo de registro Preparar la configuración del lado del servidor de dos servidores 
 
 # Editar /etc /rsyslog.conf # Proporciona syslog TCP módulo de soporte abierta la recepción $ MODLOAD imtcp # TCP permite recibir $ 514 # InputTCPServerRun registro de velocidad de puerto TCP 514 #UDP llegó rápido no garantiza datos completos fiable TCP #. # pleno uso manera TCP , Eliminar ## # Reiniciar rsyslogsystemctl restart rsyslog 
 Ver el estado del servicio de escucha 
 
 netstat -anlput |
 grep 514tcp 0 0 0.0.0.0:514 0.0.0.0:* LISTEN 4471 /tcp rsyslogd 0 0 192.168.75.129:514 192.168.75.128:33801 ESTABLECIDO 4471 /rsyslogd tcp6 0 0 514 ::: ::: * LISTEN 4471 /rsyslogd 
 configuración del lado del cliente: 
 
 vim /etc/rsyslog.conf# Proporciona syslog recepción TCP # $ # $ MODLOAD imtcp InputTCPServerRun 514 # host remoto es: nombre /ip: puerto, por ejemplo 192.168.0.1:514 , puerto opcional # * * @@ host remoto: .. 514 * * @@ 192.168.75.129: 514 # añadir esta línea al servidor 
 192.168.1.63 todas las categorías y niveles de registro @@: 514 IP del servidor: Puerto