用Syslog 记录UNIX和Windows日志的方法
用Syslog 记录UNIX和Windows日志的方法
2007-10-11 16:53 佚名 51CTO论坛字号:T | T
在比较大规模的网络应用或者对安全有一定要求的应用中,通常需要对系统的日志进行记录分类并审核,默认情况下,每个系统会在本地硬盘上记录自己的日志,这样虽然也能有日志记录,但是有很多缺点:首先是管理不便,当服务器数量比较多的时候,登陆每台服务器去管理分析日志会十分不便,其次是安全问题,一旦有入侵者登陆系统,他可以轻松的删除所有日志,系统安全分析人员不能得到任何入侵信息。
AD:WOT2014:用户标签系统与用户数据化运营培训专场
在比较大规模的网络应用或者对安全有一定要求的应用中,通常需要对系统的日志进行记录分类并审核,默认情况下,每个系统会在本地硬盘上记录自己的日志,这样虽然也能有日志记录,但是有很多缺点:首先是管理不便,当服务器数量比较多的时候,登陆每台服务器去管理分析日志会十分不便,其次是安全问题,一旦有入侵者登陆系统,他可以轻松的删除所有日志,系统安全分析人员不能得到任何入侵信息。
因此,在网络中安排一台专用的日志服务器来记录系统日志是一个比较理想的方案。本文以FreeBSD下的syslog为例,介绍如何利用freebsd的syslogd来记录来自UNIX和windows的log信息。
一、记录UNIX类主机的log信息
首先需要对Freebsd的syslog进行配置,使它允许接收来自其他服务器的log信息。
在/etc/rc.conf中加入:
syslogd_flags="-4 -a 0/0:*"
说明:freebsd的syslogd参数设置放在/etc/rc.conf文件的syslogd_flags变量中
Freebsd对syslogd的默认设置参数是syslogd_flags="-s",(可以在/etc/defaults/rc.conf中看到)
默认的参数-s表示打开UDP端口监听,但是只监听本机的UDP端口,拒绝接收来自其他主机的log信息。如果是两个ss,即-ss,表示不打开任何UDP端口,只在本机用/dev/log设备来记录log.
修改后的参数说明:
-4 只监听IPv4端口,如果你的网络是IPv6协议,可以换成-6
-a 0/0:* 接受来自所有网段所有端口发送过来的log信息。
如果只希望syslogd接收来自某特定网段的log信息可以这样写:-a 192.168.1.0/24:*
-a 192.168.1.0/24:514或者-a 192.168.1.0/24表示仅接收来自该网段514端口的log信息,这也是freebsd的syslogd进程默认设置,也就是说freebsd在接收来自其他主机的log信息的时候会判断对方发送信息的端口,如果对方不是用514端口发送的信息,那么freebsd的syslogd会拒绝接收信息。即,在默认情况下必须:远程IP的514端口发送到本地IP的514,
在参数中加入*,表示允许接收来自任何端口的log信息。这点,在记录UNIX类主机信息的时候感觉不到加不加有什么区别,因为UNIX类主机都是用514端口发送和接收syslog信息的。但是在接收windows信息的时候就非常重要了。因为windows的syslog软件不用514端口发送信息,这会让默认配置的syslogd拒绝接收信息。笔者同样在linux系统下用linux的syslogd来配置log服务器,发现linux下的syslogd 就没有那么多限制,只要给syslogd加上-r参数,就可以接收来自任何主机任何端口的syslog信息,在这方面来说freebsd的默认配置安全性要比linux稍微高一点。
修改好syslogd参数后,我们需要修改一下/etc/syslog.conf文件,指定log信息的存放路径,
比如你要记录其他系统的远程登陆登出信息并指定日志存放路径,则需要修改以下行:
authpriv.* /var/log/testlog
这表示把系统的登入登出日志(包括本机系统登陆登出日志)存放到/var/log/testlog文件中。
当然,这是最简陋的做法,因为这样会把所有服务器的登陆登出信息存放在一个文件中,察看的时候很不方便,通常的做法是用一个脚本,对接收到的信息进行简单的分拣,再发送到不同的文件。
如下设置:
authpriv.* |/var/log/filter_log.sh
在记录目标前面加上“|”表示把接收到的信息交给后面的程序处理,这个程序可以是一个专门的日志处理软件,也可以是一个自己编写的小的脚本,举例:
#!/bin/sh
read stuff
SERVER=`echo $stuff |awk ‘{print $4}’`
echo $stuff >> /var/log/login_log/$SERVER.log
这个简单的脚本以IP作为分类依据,先用read读取log信息,用awk取出第四字段(即IP地址或者主机名所在的字段),以该字段为文件名存放该主机的日志。
这样一来,来自192.168.1.1的log会记录到192.168.1.1.log文件中,来自192.168.1.2的log会被记录在192.168.1.2.log文件中,分析和归类就比较方便了。当然这是一个最简单的例子,读者可以根据自己的需求写出更好的脚本,甚至把log信息分类后插入数据库中,这样日志的管理和分析就更方便了。
最后重启一下syslogd服务,让配置生效:
/etc/rc.d/syslogd restart
OK,服务端的配置完成。现在配置一下客户端:
这里所说的客户端,就是发送自己的日志到远程日志服务器上的主机。
修改/etc/syslog.conf文件:
我们举例你只要记录系统登入登出日志到远程日志服务器上,那么只需要修改以下一行:
authpriv.* @192.168.10.100
这里的192.168.10.100就是log服务器的IP,“@”符号表示发送到远程主机。
OK,重启一下syslog服务:
Linux: /etc/init.d/syslogd restart
BSD: /etc/rc.d/syslogd restart
用logger测试一下是否配置成功:
logger –p authpriv.notice “Hello,this is a test”
到log服务器上去看看,“Hello,this is a test”应该已经被记录下了。最后在客户机上登陆登出几次,看看真实的authpriv信息是否也被成功的记录下。
二、Windows日志的记录
对于UNIX类主机之间记录日志,由于协议、软件和日志信息格式等都大同小异,因此实现起来比较简单,但是windows的系统日志格式不同,日志记录软件,方式等都不同。因此,我们需要第三方的软件来将windows的日志转换成syslog类型的日志后,转发给syslog服务器。
介绍第三方软件evtsys (全称是evntlog to syslog)
文件才几十K大小,非常小巧,解压后是两个文件evtsys.dll和evtsys.exe
把这两个文件拷贝到 c:\windows\system32目录下。
打开Windows命令提示符(开始->运行输入CMD)
C:\>evtsys –i –h 192.168.10.100
-i 表示安装成系统服务
-h 指定log服务器的IP地址
如果要卸载evtsys,则:
net stop evtsys
evtsys -u
启动该服务:
C:\>net start evtsys
打开windows组策略编辑器 (开始->运行输入 gpedit.msc)
在windows设置-> 安全设置-> 本地策略->审核策略中,打开你需要记录的windows日志。evtsys 会实时的判断是否有新的windows日志产生,然后把新产生的日志转换成syslogd可识别的格式,通过UDP 3072端口发送给syslogd服务器。
OK,所有的配置windows端配置完成,现在配置一下syslogd的配置文件,
参数的配置和上面相同,所不同的是evtsys是以daemon设备的方式发送给 syslogd log信息的。因此,需要在/etc/syslog.conf中加入:
daemon.notice |/var/log/filter_log.sh
关于syslog 记录设备和记录等级方面的知识可以参考syslog文档。
OK,所有配置设置完成。
Linux 、BSD和windows上的系统日志都可以统一记录到一台日志服务器上轻松管理了。
windows系统日志与入侵检测详解-电脑教程
windows系统日志与入侵检测详解 -电脑教程.txt我很想知道,多少人分开了,还是深爱着?、自己哭自己笑自己看着自己闹 . 你用隐身来躲避我丶我用隐身来成全你!待到一日权在手 , 杀尽天下负我 狗 .windows 系统日志与入侵检测详解 - 电脑教程 系统日志源自航海日志:当人们出海远行地时候,总是要做好航海日志,以便为以后地工作做出依据?日志文件作为微软 Windows系列操作系统中地一个比较特殊地文件,在安全方面 具有无可替代地价值 . 日志每天为我们忠实地记录着系统所发生一切,利用系统日志文件,可以使系统管理员快速对潜在地系统入侵作出记录和预测,但遗憾地是目前绝大多数地人都忽略了它地存在?反而是因为黑客们光临才会使我们想起这个重要地系统日志文件? 7.1日志文件地特殊性 要了解日志文件,首先就要从它地特殊性讲起,说它特殊是因为这个文件由系统管理,并加以保护,一般情况下普通用户不能随意更改?我们不能用针对普通 TXT文件地编辑方法来编辑它 例如 WPS系列、Word系列、写字板、Edit等等,都奈何它不得.我们甚至不能对它进行“重命名”或“删除”、“移动”操作 , 否则系统就会很不客气告诉你:访问被拒绝? 当然 , 在纯DOS地状态下,可以对它进行一些常规操作(例如 Win98状态下 >,但是你很快就会发现,你地 修改根本就无济于事 , 当重新启动 Windows 98 时 , 系统将会自动检查这个特殊地文本文件 , 若不存在就会自动产生一个;若存在地话,将向该文本追加日志记录? b5E2RGbCAP 7.1.1黑客为什么会对日志文件感兴趣 黑客们在获得服务器地系统管理员权限之后就可以随意破坏系统上地文件了,包括日志文件?但是这一切都将被系统日志所记录下来,所以黑客们想要隐藏自己地入侵踪迹,就必须对日志进行修改 . 最简单地方法就是删除系统日志文件,但这样做一般都是初级黑客所为,真正地高级黑客们总是用修改日志地方法来防止系统管理员追踪到自己,网络上有很多专门进行此类 功能地程序,例如Zap、Wipe等.p1EanqFDPw 7.1.2Windows 系列日志系统简介 1.Windows 98 地日志文件 因目前绝大多数地用户还是使用地操作系统是 Windows 98,所以本节先从 Windows 98 地日志文件讲起 .Windows 98 下地普通用户无需使用系统日志,除非有特殊用途,例如,利用 Windows 98建立个人 Web服务器时,就会需要启用系统日志来作为服务器安全方面地参考,当已利用 Windows 98 建立个人 Web 服务器地用户,可以进行下列操作来启用日志功能 . DXDiTa9E3d (1>在“控制面板”中双击“个人Web服务器”图标;(必须已经在配置好相关地网络协议,并添加“个人 Web服务器”地情况下>.RTCrpUDGiT (2> 在“管理”选项卡中单击“管理”按钮; (3>在“In ternet 服务管理员”页中单击“ WW管理”;
syslog日志服务器配置步骤
syslog 日志服务器配置步骤 一.作用 Linux 系统的日志主要分为两种类型 1. 进程所属日志: 由用户进程或其他系统服务进程自行生成的日志,比如服务器上的 access_log 与 error_log 日志文件。 2. syslog 消息: 系统 syslog 记录的日志,任何希望记录日志的系统进程或者用户进程 都可以给调用 syslog 来记录日志。 Syslog 程序就是用来记录这类日志的。 syslog 是 Linux 的日志子系统,日志文件详细地记录了系统每天发生的各种各样的事件。 用户可以通 过日志文件检查错误产生的原因, 或者在受到攻击和黑客入侵时追踪攻击者的踪 迹。日志的两个比较重要的作用是:审核和监测。 配置 syslog 中央服务器能够使所有服务器的系统信息都集中到某台特定的机器上,便于对 集群中机器的管理与检查 Linux 系统所有的日志文件都在 /var/log 下,且必须有 root 权限才能察看。 日志文件其实 是纯文本 的文件,每一行表示一个消息 , 而且都由四个域的固定格式组成 : 1. 时间标签 (timestamp ) ,表示消息发出的日期和时间。 2. 主机名 ( hostname ) ,表示生成消息的计算 可 能没有必要了。但是如果在网络环境中使用 送到一台服务器上集中处理。 3. 生成消息的子系统的名字。 可以是” kernel 表示发出消息的程序的名字。在方括号里的是进程的 4. 消息 ( message ) ,剩下的部分就是消息的内容。 syslog 配置文件 syslog 是 Linux 系统默认的日志守护进程。默认的 syslog 配置文件是 /etc/syslog.conf 文 件。syslog 守护进程是可配置的,它允许人们为每一种类型的系统信息精确地指定一个存放 地点。现在, 我们先看看 syslog.conf 文件的配置行格式(这个文件里的每一个配置行都是 同样的格式),然后再看一个完整的 syslog 配置文件。 syslog 配置行的格式如下所示: mail.*/var/log/mail 这一行由两个部分组成。第一个部分是一个或多个 设备后面跟一些空格字符, 然后是一个“操作动作” 1 设备 设备本身分为两个字段,之间用一个小数 点( 段是一个优先级。 设备其实是对消息类型的一种分类, 发送到不同的地方。在同一个 的 syslog 配置文件示例里看到同时有多个设备的配置行。 下面列出了绝大多数 Linux 操作系 统变体都可以识别的设备。 auth -由 pam_pwdb 报告的认证活动。 authpriv -包括特权信息如用户名在内的认证活动 机的名字。如果只有一台计算机,主机名就 syslog ,那么就可能要把不同主机的消息发 ”, 表示消息来自内核; 或者是进程的名字, PID 。 设备” ;上例中的设备是“ mail ”。 ;上例中的操作动作是: /var/log/mail .)分隔。前一字段是一项服务,后一字 这种分类便于人们把不 同类型的消息 syslog 配置行上允许出现一个以上的设备,但必须用分号( ;) 把它们分隔开。上面给出的例子里只有一个设备“ mail ”。大家可以在后面给出的那个完整
UNIX操作系统常用命令使用方法
UNIX系统及BSJ2200系统培训 第一章SUN系统介绍 第一节SUN的发展史 (一)硬件体系 81--89 Sun1/2/3 CISC Motrala 680x0系列 89--94 Sun4/60 sparc1 Risc sparc 65 sparc1+ 70 sparc2 Server : Sun/290/670/690 93--96 Sparc10/20 SuperSparc Server : 1000/2000 96--97 Ultra1(140/170/170E/200E) UltraSparc SBUS体系结构,UPA接口 Ultra2 Server : E150,E3000 98--99 Ultra5 ,Ultra10 PCI体系结构(IDE外设) Ultra30,Ultra60 Server : E250,E450,E3500 2000-至今BLADE 150/2000/2500 (二)软件体系 Solaris 1.x SunOS 4.1.3+OpenWindow 1.x BSD Solaris 2.x System V 32bit 2.5.1 SunOS 5.5.1 +OpenWindows 2.6 SunOS5.6+CDE1.2 Solaris 2.7(7) 64 bit Solaris 2.8(8) for sparc平台/intel x86平台 Solaris 2.9(9) for sparc平台/intel x86平台 第二节SUN系统的安装 以SUN Ultra5(9.1G)硬盘Solaris2.7为例,步骤如下: 1、在OK提示下输入:boot cdrom 2、出现“Select Language and local”时,选择“Continue”按钮。 3、出现“The Solaris installation program”时,选择“Continue”按钮。 4、出现“Identify this system”时,选择“Continue”按钮。 5、出现“Hostname”时,先输入机器名后,再选择“continue”按钮。 6、出现“Network connectively”时,先选择“Yes”,再选择“Continue”。 7、出现“IP Address”时,输入IP后,选择“Continue”。 8、出现“Confirm Infirmation”时,选择“Continue”。 9、出现“Name service”时,先选择“None”后,再选择“Continue”。 10、出现“Confirm Infirmation”时,选择“Continue”。 11、出现“Subnets”时,先输入“NO”,再输入“Continue”。 12、出现“Time Zone Geographic region”时,输入“Set”。 13、出现“Geographic region”时,选“Asia Eastern HongKong”。
系统安全防范之Windows日志与入侵检测
系统安全防范之Windows日志与入侵检测 一、日志文件的特殊性 要了解日志文件,首先就要从它的特殊性讲起,说它特殊是因为这个文件由系统管理,并加以保护,一般情况下普通用户不能随意更改。我们不能用针对普通TXT文件的编辑方法来编辑它。例如WPS系列、Word系列、写字板、Edit等等,都奈何它不得。我们甚至不能对它进行“重命名”或“删除”、“移动”操作,否则系统就会很不客气告诉你:访问被拒绝。当然,在纯DOS的状态下,可以对它进行一些常规操作(例如Win98状态下),但是你很快就会发现,你的修改根本就无济于事,当重新启动Windows 98时,系统将会自动检查这个特殊的文本文件,若不存在就会自动产生一个;若存在的话,将向该文本追加日志记录。 二、黑客为什么会对日志文件感兴趣 黑客们在获得服务器的系统管理员权限之后就可以随意破坏系统上的文件了,包括日志文件。但是这一切都将被系统日志所记录下来,所以黑客们想要隐藏自己的入侵踪迹,就必须对日志进行修改。最简单的方法就是删除系统日志文件,但这样做一般都是初级黑客所为,真正的高级黑客们总是用修改日志的方法来防止系统管理员追踪到自己,网络上有很多专门进行此类功能的程序,例如Zap、Wipe等。 三、Windows系列日志系统简介 1.Windows 98的日志文件 因目前绝大多数的用户还是使用的操作系统是Windows 98,所以本节先从Windows 98的日志文件讲起。Windows 98下的普通用户无需使用系统日志,除非有特殊用途,例如,利用Windows 98建立个人Web服务器时,就会需要启用系统日志来作为服务器安全方面的参考,当已利用Windows 98建立个人Web服务器的用户,可以进行下列操作来启用日志功能。(1)在“控制面板”中双击“个人Web服务器”图标;(必须已经在配置好相关的网络协议,并添加“个人Web服务器”的情况下)。 (2)在“管理”选项卡中单击“管理”按钮; (3)在“Internet服务管理员”页中单击“WWW管理”; (4)在“WWW管理”页中单击“日志”选项卡; (5)选中“启用日志”复选框,并根据需要进行更改。将日志文件命名为“Inetserver_event.log”。如果“日志”选项卡中没有指定日志文件的目录,则文件将被保存在Windows文件夹中。 普通用户可以在Windows 98的系统文件夹中找到日志文件schedlog.txt。我们可以通过以下几种方法找到它。在“开始”/“查找”中查找到它,或是启动“任务计划程序”,在“高级”菜单中单击“查看日志”来查看到它。Windows 98的普通用户的日志文件很简单,只是记录了一些预先设定的任务运行过程,相对于作为服务器的NT操作系统,真正的黑客们很少对Windows 98发生兴趣。所以Windows 98下的日志不为人们所重视。 2.Windows NT下的日志系统 Windows NT是目前受到攻击较多的操作系统,在Windows NT中,日志文件几乎对系统中的每一项事务都要做一定程度上的审计。Windows NT的日志文件一般分为三类: 系统日志:跟踪各种各样的系统事件,记录由Windows NT 的系统组件产生的事件。例如,在启动过程加载驱动程序错误或其它系统组件的失败记录在系统日志中。 应用程序日志:记录由应用程序或系统程序产生的事件,比如应用程序产生的装载dll(动态链接库)失败的信息将出现在日志中。 安全日志:记录登录上网、下网、改变访问权限以及系统启动和关闭等事件以及与创建、打开或删除文件等资源使用相关联的事件。利用系统的“事件管理器”可以指定在安全日志中记录需要记录的事件,安全日志的默认状态是关闭的。
Windows日志文件解读
Windows日志文件完全解读 日志文件,它记录着Windows系统及其各种服务运行的每个细节,对增强Windows的稳定和安全性,起着非常重要的作用。但许多用户不注意对它保护,一些“不速之客”很轻易就将日志文件清空,给系统带来严重的安全隐患。 一、什么是日志文件 日志文件是Windows系统中一个比较特殊的文件,它记录着Windows系统中所发生的一切,如各种系统服务的启动、运行、关闭等信息。Windows日志包括应用程序、安全、系统等几个部分,它的存放路径是“%systemroot%system32config”,应用程序日志、安全日志和系统日志对应的文件名为AppEvent.evt、SecEvent.evt和SysEvent.evt。这些文件受到“Event Log(事件记录)”服务的保护不能被删除,但可以被清空。 二、如何查看日志文件 在Windows系统中查看日志文件很简单。点击“开始→设置→控制面板→管理工具→事件查看器”,在事件查看器窗口左栏中列出本机包含的日志类型,如应用程序、安全、系统等。查看某个日志记录也很简单,在左栏中选中某个类型的日志,如应用程序,接着在右栏中列出该类型日志的所有记录,双击其中某个记录,弹出“事件属性”对话框,显示出该记录的详细信息,这样我们就能准确的掌握系统中到底发生了什么事情,是否影响Windows 的正常运行,一旦出现问题,即时查找排除。 三、Windows日志文件的保护 日志文件对我们如此重要,因此不能忽视对它的保护,防止发生某些“不法之徒”将日志文件清洗一空的情况。 1.修改日志文件存放目录 Windows日志文件默认路径是“%systemroot%system32config”,我们可以通过修改注册表来改变它的存储目录,来增强对日志的保护。 点击“开始→运行”,在对话框中输入“Regedit”,回车后弹出注册表编辑器,依次展开“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog”后,下面的Application、Security、System几个子项分别对应应用程序日志、安全日志、系统日志。 笔者以应用程序日志为例,将其转移到“d:cce”目录下。选中Application子项,在右栏中找到File键,其键值为应用程序日志文件的路径“%SystemRoot%system32configAppEvent.Evt”,将它修改为“d:cceAppEvent.Evt”。接着在D盘新建“CCE”目录,将“AppEvent.Evt”拷贝到该目录下,重新启动系统,完成应用程序日志文件存放目录的修改。其它类型日志文件路径修改方法相同,只是在不同的子项下操作。 2.设置文件访问权限 修改了日志文件的存放目录后,日志还是可以被清空的,下面通过修改日志文件访问权限,防止这种事情发生,前提是Windows系统要采用NTFS文件系统格式。 右键点击D盘的CCE目录,选择“属性”,切换到“安全”标签页后,首先取消“允许将来自父系的可继承权限传播给该对象”选项勾选。接着在账号列表框中选中“Everyone”账号,只给它赋予“读取”权限;然后点击“添加”按钮,将“System”账号添加到账号列表框中,赋予除“完全控制”和“修改”以外的所有权限,最后点击“确定”按钮。这样当用户清除Windows日志时,就会弹出错误对话框。 四、Windows日志实例分析 在Windows日志中记录了很多操作事件,为了方便用户对它们的管理,每种类型的事件都赋予了一个惟一的编号,这就是事件ID。 1.查看正常开关机记录
UNIX和Linux操作系统概述
第1章UNIX和Linux操作系统概述 练习题和解答 1.在UNIX大家族的以下分支中,哪两个分支对成就UNIX的辉煌起到了至关重要的作用? A.MIT B.GNU C.BSD D.POSIT E.BESYS F.System V 【解答】这一题是测试你对UNIX的简要发展史以及对UNIX发展影响巨大的两个分支的熟悉程度。根据本章1.2节有关UNIX的简要发展史的介绍——对UNIX操作系统的发展贡献最大的是它的两个分支——加州大学Berkeley分校的BSD和AT&T公司的System V,可以断定答案C和F是正确的。 答案:C和F 2.为什么Linux操作系统总是在一个被称为Linux Standard Base(LSB)的通用标准下开发和颁布? A.防止互用性(interoperability) B.防止服从POSIX标准 C.确保应用一级的多样性 D.确保不同发布之间的兼容性 【解答】这一题是测试你对UNIX和Linux设计思想和实现的理解程度。虽然在本章中并没有直接讨论过本题的答案,但是根据本章1.2节~1.6节的介绍我们可以断定只有答案D是正确的,因为其他几个答案都与UNIX和Linux设计理念相违背。 这里需要解释的是POSIX是IEEE标准,其全名是Portable Open Systems Interface(可移植开放系统接口/界面)。 答案:D 补充练习题和解答 3.UNIX被称为有史以来最稳定的操作系统,请问在以下所列的原则中有哪两个对这种稳定性起到了比较大的作用?
A.容易修改终端用户程序 B.所有程序的配置数据都以二进制文件存储 C.整个策略的决策都是由内核做出的 D.UNIX操作系统中的每一件东西或者是一个文件或者是一个进程【解答】这一题是测试你对UNIX设计理念的理解程度。根据本章1.3节有关UNIX 设计理念的解释——所有的操作系统配置数据都存储在正文文件中,可以断定答案B是错误的。 根据本章1.3节有关UNIX设计原则的介绍——“每一个操作系统命令或应用程序都很小,而且只完成单一的功能。UNIX操作系统提供了许多小的应用程序,每个应用程序都能够很好地执行单一的功能。当需要一个新功能时,UNIX的通用原则是为此创建一个单独的程序而不是扩展一个已经存在的应用程序的功能。”,可以断定答案C是错误的。 利用排除法可以断定,答案A和D是正确的。 答案:A和D 4.由自由软件基金会(Free Software Foundation,FSF)发起的GNU项目的目标就是创建一个自由的UNIX克隆。根据你的理解,以下哪个陈述适用于FSF的“自由”这一术语? A.在获得软件的同时源代码将免费提供 B.软件是全部免费的而仅仅收取修复软件故障的费用 C.软件是以可运行(可安装)形式免费自由分发的 D.软件是自由分发的但是并没有提供再分发这个软件的自由 【解答】这一题是测试你对GNU项目与自由软件的熟悉程度。根据本章1.4节有关GNU项目与自由软件的介绍——“你有修改该程序满足自己需求的自由(为使该自由实际上可实施,你必须可接触源代码,因为没有源代码的情况下,在一个程序中做修改是非常困难的)。”,可以断定答案A是正确的。 根据本章1.4节有关GNU项目与自由软件的介绍——“自由软件(Free Software)这一术语有时被错误地理解,其实它与价格无关。”,所以答案B和C肯定是错误的。 根据本章1.4节有关GNU项目与自由软件的介绍——“你有权利发布该程序修改过的版本,从而让其他人得益于你的改进。”,可以断定答案D是错误的。 答案:A 5.多用户可以共享一个UNIX计算机,这使得利用一个用户的空闲时间来服务其他用户成为可能。操作系统的这一特性被称为什么? A.数据共享 B.时间共享 C.一次性初始化 D.轻量级的内核线程
Windows日志文件全解读
一、什么是日志文件 日志文件是Windows系统中一个比较特殊的文件,它记录着Windows系统中所发生的一切,如各种系统服务的启动、运行、关闭等信息。Windows日志包括应用程序、安全、系统等几个部分,它的存放路径是“%systemroot%system32config”,应用程序日志、安全日志和系统日志对应的文件名为AppEvent.evt、SecEvent.evt和SysEvent.evt。这些文件受到“Event Log(事件记录)”服务的保护不能被删除,但可以被清空。 二、如何查看日志文件 在Windows系统中查看日志文件很简单。点击“开始→设置→控制面板→管理工具→事件查看器”,在事件查看器窗口左栏中列出本机包含的日志类型,如应用程序、安全、系统等。查看某个日志记录也很简单,在左栏中选中某个类型的日志,如应用程序,接着在右栏中列出该类型日志的所有记录,双击其中某个记录,弹出“事件属性”对话框,显示出该记录的详细信息,这样我们就能准确的掌握系统中到底发生了什么事情,是否影响Windows的正常运行,一旦出现问题,即时查找排除。 三、Windows日志文件的保护 日志文件对我们如此重要,因此不能忽视对它的保护,防止发生某些“不法之徒”将日志文件清洗一空的情况。 1. 修改日志文件存放目录 Windows日志文件默认路径是“%systemroot%system32config”,我们可以通过修改注册表来改变它的存储目录,来增强对日志的保护。 点击“开始→运行”,在对话框中输入“Regedit”,回车后弹出注册表编辑器,依次展开“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog”后,下面的Application、Security、System几个子项分别对应应用程序日志、安全日志、系统日志。 笔者以应用程序日志为例,将其转移到“d:\cce”目录下。选中Application子项
H3C_syslog配置
netscreen syslog配置 netscreen的flash memory只保存4096条日志,但在网络访问量大的时候根本没用,最多一两天就被后面 的日志给冲掉,而且当防火墙重新启动不能保存日志。 web操作步骤: 1 用admin用户登陆web界面 2 选择Configuration->;Report Settings->;Syslog 3 点击'Enable Syslog' 4 假如你要把所有的传输日志全部记录,最好还要选择'Include Traffic Log' 5 输入日志服务器的地址和端口(udp端口514) 这个是一个叫Kevin Branch的友好提示: 所有的Netscreen policies (permit/deny/tunnel)最好全部有log的默认选项,这样可以全部如实录并传 送到日志服务(假如netscreen设置允许会话没有被指定拒绝) “Log Pa ckets Terminated to Self" 选项与访问netscreen的会话无关,但最好还是记录所有的会话给 netscreen自己保存,否则哪怕仅仅是管理防火墙,也会显示来自Internet的 消息。 命令行操作步骤: 1 set syslog configip_addresssecurity_facility 2 local_facility 3 set syslog enable 4 set syslog traffic 5 set log module system level level destination syslog 提示:当用set syslog config命令需要你定义一个安全facility(不知道怎 么翻译,我理解为安全级别),你 可以用set syslog命令提示选项来看 security_facility 和 local_facility。必须输入被设置的每个消息的安全层,选项如下:级别是从高到低 emergency (紧急事件) alert (警报) critical (危机) error (错误) warning (预告警) notification (通知) information (信息) =======================================================
unix操作系统
Unix操作系统浅析 摘要:本文较详细的介绍了什么是UNIX操作系统,以及UNIX操作系统的发展历史,UNIX系统的基本结构,UNIX操作系统的优势,UNIX操作系统和LINUX操作系统的区别和联系。 关键字:UNIX,LINUX 一、引言 UNIX ,是一个强大的多用户、多任务操作系统,支持多种处理器架构,按照操作系统的分类,属于分时操作系统。UNIX操作系统最早由Ken Thompson、D ennis Ritchie和Douglas McIlroy于1969年在AT&T的贝尔实验室开发。经过长期的发展和完善,目前已成长为一种主流的操作系统技术和基于这种技术的产品大家族。由于UNIX具有技术成熟、结构简练、可靠性高、可移植性好、可操作性强、网络和数据库功能强、伸缩性突出和开放性好等特色,可满足各行各业的实际需要,特别能满足企业重要业务的需要,已经成为主要的工作站平台和重要的企业操作平台。它主要安装在巨型计算机、大型机上作为网络操作系统使用,也可用于个人计算机和嵌入式系统。曾经是服务器操作系统的首选,占据最大市场份额,但最近在跟WINDOWS SERVER以及Linux的竞争中有所失利。 二、UNIX历史 初创期Unix的诞生和Multics(Multiplexed Information and Computi ng System)是有一定渊源的。Multics是由麻省理工学院,AT&T贝尔实验室和通用电气合作进行的操作系统项目,被设计运行在GE-645大型主机上,但是由于整个目标过于庞大,糅合了太多的特性,Multics虽然发布了一些产品,但是性能都很低,最终以失败而告终。AT&T最终撤出了投入Multics项目的资源,其中一个开发者,Ken Thompson则继续为GE-645开发软件,并最终编写了一个太空旅行游戏。经过实际运行后,他发现游戏速度很慢而且耗费昂贵——每次运行会花费75美元。在Dennis Ritchie的帮助下,Thompson用PDP-7的汇编语言重写了这个游戏,并使其在DEC PDP-7上运行起来。这次经历加上Multics 项目的经验,促使Thompson开始了一个DEC PDP-7上的新操作系统项目。Thom pson和Ritchie领导一组开发者,开发了一个新的多任务操作系统。这个系统包括命令解释器和一些实用程序,这个项目被称为UNICS(Uniplexed Informat ion and Computing System),因为它可以支持同时的多用户操作。后来这个名字被改为UNIX。发展期最初的Unix是用汇编语言编写的,一些应用是由叫做B语言的解释型语言和汇编语言混合编写的。B语言在进行系统编程时不够强大,所以Thompson和Ritchie对其进行了改造,并与1971年共同发明了C语言。1973 年Thompson和Ritchie用C语言重写了Unix。在当时,为了实现最高效
syslog-系统日志应用
syslog 系统日志应用 1) 概述 syslog是Linux系统默认的日志守护进程。默认的syslog配置文件是/etc/syslog.conf文件。程序,守护进程和内核提供了访问系统的日志信息。因此,任何希望生成日志信息的程序都可以向 syslog 接口呼叫生成该信息。 几乎所有的网络设备都可以通过syslog协议,将日志信息以用户数据报协议(UDP)方式传送到远端服务器,远端接收日志服务器必须通过syslogd 监听UDP 端口514,并根据 syslog.conf配置文件中的配置处理本机,接收访问系统的日志信息,把指定的事件写入特定文件中,供后台数据库管理和响应之用。意味着可以让任何事件都登录到一台或多台服务器上,以备后台数据库用off-line(离线) 方法分析远端设备的事件。 通常,syslog 接受来自系统的各种功能的信息,每个信息都包括重要级。/etc/syslog.conf 文件通知 syslogd 如何根据设备和信息重要级别来报告信息。 2) etc/syslog.conf /etc/syslog.conf 文件使用下面的格式: facility.level action facility.level为选择条件本身分为两个字段,之间用一个小数点(.)分隔。action和facility.level之间使用TAB隔开。前一字段是一项服务,后一字段是一个优先级。选择条件其实是对消息类型的一种分类,这种分类便于人们把不同类型的消息发送到不同的地方。在同一个syslog配置行上允许出现一个以上的选择条件,但必须用分号(;)把它们分隔开。action字段所表示的活动具有许多灵活性,特别是,可以使用名称管道的作用是可以使 syslogd 生成后处理信息。 要素分析: facility 指定 syslog 功能,主要包括以下这些: kern 内核信息,首先通过 klogd 传递; user 用户进程; mail 邮件; daemon 后台进程; authpriv 授权信息; syslog 系统日志; lpr 打印信息; news 新闻组信息; uucp 由uucp生成的信息
Evtsys--轻松将Windows日志转换为SYSLOG
Evtsys--轻松将Windows日志转换为SYSLOG 们知道,无论是Unix、Linux、FreeBSD、Ubuntu,还是路由器、交换机,都会产生大量的日志,而这些,一般会以syslog的形式存在。调试过防火墙、入侵检测、安全审计等产品的朋友应该对SYSLOG熟悉,如果您还不了解SYSLOG,请登录百度或Google查询。 很多时候,我们需要对日志进行集中化管理,如各种操作系统、网络设备、安全设备,甚至应用系统、业务系统等,但是不知道你注意看上文了没:Windows的应用、安全、系统日志怎么办? Windows操作系统本身是可以产生很多日志的,如每次插拔U盘、服务的重启等,都会产生日志,这些信息会记录在操作系统中,如果我们想集中管理,怎么办?Windows操作系统本身并不支持把日志发送到SYSLOG服务器去 还好,我们有Evtsys。什么是Evtsys呢?如果你想下载Evtsys,请登录https://www.360docs.net/doc/8112754157.html,/p/eventlog-to-syslog/ 查看并获取最新更新。值得称道的是,程序仅仅有几十KB大小! 下载Evtsys后,将其复制到系统目录,XP下是Windows\system32目录。然后在CMD下执行: evtsys.exe -i -h 192.168.1.101 -p 514 这个是标准格式,亦可精简为: evtsys -i -h 192.168.1.101 参数说明: i是安装成Window服务; h是syslog服务器地址; p是syslog服务器的接收端口。 默认下,端口可以省略,默认是514. 启动Evtsys服务,命令是: net start evtsys 查看Windows的“服务”,发现在原本Event Log服务下面增加了一个“Eventlog to Syslog”,并且已经启动。
详述Windows 2000 系统日志及删除方法
详述Windows 2000 系统日志及删除方法.txt两个人吵架,先说对不起的人,并不是认输了,并不是原谅了。他只是比对方更珍惜这份感情。Windows 2000的日志文件通常有应用程序日志,安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志等等,可能会根据服务器所开启的服务不同。当我们用流光探测时,比如说IPC探测,就会在安全日志里迅速地记下流光探测时所用的用户名、时间等等,用FTP探测后,也会立刻在FTP日志中记下IP、时间、探测所用的用户名和密码等等。甚至连流影启动时需要msvcp60.dll这个动库链接库,如果服务器没有这个文件都会在日志里记录下来,这就是为什么不要拿国内主机探测的原因了,他们记下你的IP后会很容易地找到你,只要他想找你!!还有Scheduler日志这也是个重要的LOG,你应该知道经常使用的srv.exe就是通过这个服务来启动的,其记录着所有由Scheduler服务启动的所有行为,如服务的启动和停止。 日志文件默认位置: 应用程序日志、安全日志、系统日志、DNS日志默认位置:%systemroot%\system32\config, 默认文件大小512KB,管理员都会改变这个默认大小。 安全日志文件:%systemroot%\system32\config\SecEvent.EVT 系统日志文件:%systemroot%\system32\config\SysEvent.EVT 应用程序日志文件:%systemroot%\system32\config\AppEvent.EVT Internet信息服务FTP日志默认位置:%systemroot%\system32\logfiles\msftpsvc1\,默认每天一个日志 Internet信息服务WWW日志默认位置:%systemroot%\system32\logfiles\w3svc1\,默认每天一个日志 Scheduler服务日志默认位置:%systemroot%\schedlgu.txt 以上日志在注册表里的键: 应用程序日志,安全日志,系统日志,DNS服务器日志,它们这些LOG文件在注册表中的: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog 有的管理员很可能将这些日志重定位。其中EVENTLOG下面有很多的子表,里面可查到以上日志的定位目录。 Schedluler服务日志在注册表中 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent
第一章:UNIX操作系统简介
第一章:UNIX操作系统简介 学习目标 学完这一章,你能做到以下事情: 描述UNIX系统的基本组成和基本功能 1.1 什么是操作系统? 操作系统是一种特殊的用于控制计算机(硬件)的程序(软件)。 操作系统在资源使用者和资源之间充当中间人的角色。为众多的消耗者协调分配有限的系统资源。系统资源包括,CPU,内存,磁盘,和打印机。举个例子,一个用户(也可以是程序)将一个文件存盘,操作系统就会开始工作:管理磁盘空间的分配,将要保存的信息由内存写到磁盘等。 当用户要运行一个程序时,操作系统必须先将程序载入内存,当程序执行时,操作系统会让程序使用CPU。在一个分时系统中,通常会有多个程序在同一时刻试图使用CPU。 操作系统控制应用程序有序地使用CPU ,就好象一个交通警察在一个复杂的十字路口指挥交通。十字路口就象是CPU;每一条在路口交汇的支路好比一个程序,在同一时间,只有一条路的车可以通过这个路口,而交通警察的作用就是指挥让哪一条路的车通过路口,直到让所有路口的车辆都能通过路口。 UNIX操作系统的历史 UNIX操作系统1969年在贝尔实验室诞生。Ken Thompson在Rudd Canaday, ,Doug Mcllroy,Joe Ossana,and Dennis Ritchie,的协助下,写出一个小的分时系统,开始得到关注,在许诺为实验室的管理人员提供一个文档准备工具后,UNIX先驱们可以使用到一台更大的计算机,从而得以继续他们的开发工作。 在七十年代的中期,一些大学得到使用UNIX的许可,并很快在学院之间得到广泛流行,其主要的原因是: 小巧:最早的UNIX系统只占用512K字节的磁盘空间,其中系统内核使用16K,用户程序使用8K,文件使用64K。 灵活:源代码是可利用的,UNIX是用高级语言写成,提高了操作系统的可移植性。 便宜:大学能以一盘磁带的价格得到一个UNIX系统的使用许可。早期的UNIX系统提供了强大的性能,使其能在许多昂贵的计算机上运行。 以上优点在当时掩盖了系统的不足: 没有技术支持:AT&T在当时大部分的资源和都用在MUTICS上,没有兴趣 开发UNIX系统。 Bug的修补:由于没有技术支持,bug的修补也得不到保证。 很少的,或者根本没有说明文档:用户有问题经常只能是去看源代码。 当UNIX传播到位于California的Berkeley大学的时候,Berkeley大学的使用者们创建了自己的UNIX版本,在得到国防部得支持后,他们开发出了许多新的特性。但是,作为一个研究机构,Berkeley大学提供的版本和A T&T的版本一样,也没有技术支持。 当A T&T意识到这种操作系统的潜力后就开始将UNIX商业化,为了加强产品性能,他们在AT&T的不同部门进行UNIX系统开发,并且开始在系统中结合Berkeley开发出的成果。UNIX最终的成功可以归结为: 一个灵活的、包含多种工具的用户界面与操作环境。 模块化的系统设计可以很容易地加入新的工具。 支持多进程,多用户并发的能力。
Unix操作系统介绍
UNIX操作系统简介 UNIX发展过程 UNIX系统是美国麻省理工学院(MIT)在1965年开发的分时操作系统 Multics(Multiplexed Information and Computing Service System)的基础上不断演 变而来的,它原是MIT和贝尔实验室等为美国国防部研制的。贝尔实验室的系统程序设计人员汤普逊(Thompson)和里奇(Ritchie)于1969年在 PDP—7计算机上成功地开发了16位微机操作系统。该系统继承了 Multics系统的树形结构、Shel1命令语言和面向过程的结构化设计方法,以及采用高级语言编写操作系统等特点,同时,又摈弃了它的许多不足之处。为了表示它与 Multics 既继承又 背叛的关系,该系统命名为UNIX,UNIX中的 UNI正好与 Multi相对照,表示UNIX系统不像 Multics系统那样庞大和复杂,而 X则是 cs的谐音。 由于当时美国政府禁止AT&T经营计算机业务,所以在整个七十年代,UNIX 没能作为商品进入市场,而主要是提供给学校和科研机构等非赢利单位使用。 1972年, UNIX系统开始移植到 PDP-l l系列机上运行,在1979年,贝尔实验 室又将其移植到类似于 IBM370的32位机上运行,并公布了得到西部电气公司正式承认的 UNIX第七版。在1980年又公布了为 VAX-l l/780计算机编写的操作系统 UNIX32V。在此基础上,加里福尼亚大学伯克利分校同年发表了 VAX-l l型机用的 BSD4.0和 BSD4.1版本。1982年,贝尔实验室又相继公布了 UNIX systems III的3.0、4.0和5.0等版本。它们是对 UNIX32V的改进,但却不同于BSD4.0和 BSD4.1版本。从此, UNIX系统走上了以 AT&T和伯克利分校二者为主的开发道路。例如,1983年 AT&T推出了 UNIX systems V和几种微处理机上的 UNIX操作系统。而伯克利分校公布了 BSD4.2版本。在1986年,UNIX systems V又发展为它的改进版 Res2.1和Res3.0,而 BSD4.2又升级为BSD4.3。 在这种背景下,美国 IEEE组织成立了 POSIX委员会专门进行UNIX的标准化方面的工作。此外,在1988年以 AT&T和 Sun Micro system等公司为代表的UI(UNIX International)和以 DEC、 IBM等公司为代表的 OSF(Open Software Foundation)组织也开始了这种标准化工作。它们对 UNIX的开发工作虽不一样,但它们定义出了 UNIX的统一标准,即可以运行UNIX应用软件的操作系统就是 UNIX。从而统一UNIX系统的关键就变成是否能提供一个标准的用户界面,而不在于其系统内部是如何实现的了。 UNIX的特点 UNIX系统之所以得到如此广泛地应用,是与其特点分不开的。其主要特点表现在:
设置 Syslog 日志服务器用来获取交换机日志
设置 Syslog 日志服务器用来获取交换机日志(Syslog 日志服务器用来获取交换机日志CISCO和H3C交换机的设置) 注:配置日志服务器前先检查是否已安装了SYSLOG服务 执行 ps -e |grep syslogd 查看进程是否存在 没有安装 # apt-get install syslogd 安装,或下载用安装包 H3C交换机的设置举例 1. 组网需求 将系统的日志信息发送到 linux 日志主机; 日志主机的IP 地址为 1.2.0.1/16; 信息级别高于等于 informational 的日志信息将会发送到日志主机上; 日志信息的输出语言为英文,允许输出信息的模块为ARP 和 CMD。 2. 组网图 3. 配置步骤 (1) 设备上的配置。 # 开启信息中心。
# 关闭所有模块日志主机的 log、trap、debug 的状态。 [Sysname] info-center source default channel loghost debug state off log state off trap state off 注意: 由于系统对各通道允许输出的系统信息的缺省情况不一样,所以配置前必须将所有模块的需求通道(本例为loghost )上log、trap、debug 状态设为关闭,再根据当前的需求配置输出相应的系统信息。可以用display channel 命令查看通道的状态。 # 将 IP 地址为 1.2.0.1/16 的主机作为日志主机,设置信息级别为informational,输出语言为英文,允许输出信息的模块为所有模块。 [Sysname] info-center loghost 1.2.0.1 facility local7 language english [Sysname] info-center source default channel loghost log level informational 2) 日志主机上的配置。 第一步:以超级用户(root)的身份执行以下命令。 # mkdir /var/log/H3C # touch /var/log/H3C/information 第二步:以超级用户(root)的身份编辑文件/etc/syslog.conf,加入以下选择/动作 组合(selector/action pairs)。 # H3C configuration messages https://www.360docs.net/doc/8112754157.html, /var/log/H3C/information 说明: 在编辑/etc/syslog.conf 时应注意以下问题: 注释只允许独立成行,并以字符#开头。 选择/动作组合之间必须以一个制表符(