Syslog配置
一.Syslog系统日志应用概述
syslog是Linux系统默认的日志守护进程。默认的syslog配置文件是/etc/syslog.conf 文件。程序,守护进程和内核提供了访问系统的日志信息。因此,任何希望生成日志信息的程序都可以向syslog 接口呼叫生成该信息。
几乎所有的网络设备都可以通过syslog协议,将日志信息以用户数据报协议(UDP)方式传送到远端服务器,远端接收日志服务器必须通过syslogd监听UDP 端口514,并根据syslog.conf配置文件中的配置处理本机,接收访问系统的日志信息,把指定的事件写入特定文件中,供后台数据库管理和响应之用。意味着可以让任何事件都登录到一台或多台服务器上,以备后台数据库用off-line(离线) 方法分析远端设备的事件。
通常,syslog 接受来自系统的各种功能的信息,每个信息都包括重要级。
/etc/syslog.conf 文件通知syslogd 如何根据设备和信息重要级别来报告信息。
二.syslog配置
其主要的配置文件有两个:
/etc/sysconfig/syslog 这里定义syslog服务启动时可加入的参数。
/etc/syslog.conf 这个是syslog服务的主要配置文件,根据定义的规则导向日志信息。
2.1设置主配置文件
/etc/syslog.conf根据如下的格式定义规则:
facility.level action
设备.优先级动作
facility.level 字段也被称为seletor(选择条件),选择条件和动作之间用空格或tab 分割开。
2.1.1 facility
facility定义日志消息的范围,其可使用的key有:
auth -由pam_pwdb 报告的认证活动。
authpriv -包括特权信息如用户名在内的认证活动
cron -与cron 和at 有关的计划任务信息。
daemon -与inetd 守护进程有关的后台进程信息。
kern -内核信息,首先通过klogd 传递。
lpr -与打印服务有关的信息。
mail -与电子邮件有关的信息
mark -syslog内部功能用于生成时间戳
news -来自新闻服务器的信息
syslog -由syslog 生成的信息
user -由用户程序生成的信息
uucp -由uucp 生成的信息
local0-local7 -与自定义程序使用
* 通配符代表除了mark 以外的所有功能
2.1.2 level级别
level定义消息的紧急程度。按严重程度由高到低顺序排列为:
emerg -该系统不可用,等同panic
alert -需要立即被修改的条件
crit -阻止某些工具或子系统功能实现的错误条件
err -阻止工具或某些子系统部分功能实现的错误条件,等同error
warning -预警信息,等同warn
notice -具有重要性的普通条件
info -提供信息的消息
debug -不包含函数条件或问题的其他信息
none -没有重要级,通常用于排错
* 所有级别,除了none
在定义level级别的时候,需要注意两点:
1)优先级是由应用程序在编程的时候已经决定的,除非修改源码再编译,否则不能改变消息的优先级;
2)低的优先级包含高优先级,例如,为某个应用程序定义info的日志导向,则涵盖notice、warning、err、crit、alert、emerg等消息。(除非使用=号定义)
2.1.3 selector选择条件
通过小数点符号“.”把facility和level连接在一起则成为selector(选择条件)。
可以使用分号“;”同时定义多个选择条件。也支持三个修饰符:
* -所有日志信息
= -等于,即仅包含本优先级的日志信息
! -不等于,本优先级日志信息除外
2.1.4 action动作
由前面选择条件定义的日志信息,可执行下面的动作:
file-指定日志文件的绝对路径,默认为直接写入磁盘文件;但可以在路径前加上“减号”,表示先放到缓存中,达到一定数量后再写入磁盘,这样能提高性能;但若期间
机器出现问题,这
些日志数据可能会丢失;因此,只建议用于日志数量大,但非必要的日志文件中,例如mail 等。
terminal 或print -发送到串行或并行设备标志符,例如/dev/ttyS2
@host -远程的日志服务器
username -发送信息本机的指定用户信息窗口中,但该用户必须已经登陆到系统中
named pipe -发送到预先使用mkfifo 命令来创建的FIFO 文件的绝对路径
三.设置日志服务器参数
默认情况下,syslog进程是不能接受其他日志服务器发过来的消息的。而通过修改其启动参数,可实现日志的大集中功能。
3.1修改日志服务器/etc/sysconfig/syslog文件:
#vi /etc/sysconfig/syslog (打开接受外来日志消息的功能)
修改SYSLOGD_OPTIONS="-r -x -m 0"
-r :打开接受外来日志消息的功能,其监控514 UDP端口;
-x :关闭自动解析对方日志服务器的FQDN信息,这能避免DNS不完整所带来的麻烦;
-m :修改syslog的内部mark消息写入间隔时间(0为关闭),例如240为每隔240分钟写入一次“--MARK--”信息;
-h :默认情况下,syslog不会发送从远端接受过来的消息到其他主机,而使用该选项,则把该开关打开,所有接受到的信息都可根据syslog.conf中定义的@主机转发过去。
3.2修改日志服务器主机/etc/hosts文件
#vi /etc/hosts
10.8.1.62 LogServer -------------------(日志服务器主机名)
10.8.1.65 LogAgent -------------------(客户端主机名)
修改配置文件后重启服务
#/etc/init.d/syslog restart
四.设置客户端参数
这里所说的客户端,就是发送自己的日志到远程日志服务器上的主机。
4.1修改客户端服务器/etc/syslog.conf配置文件
#vi /etc/syslog.conf
*.info;mail.none;authpriv.none;cron.none @10.8.1.62(日志服务器IP)
重新启动syslog服务
#/etc/init.d/syslog restart
F5 如何配置syslog的级别
How do I configure syslog? Description: Product Version 3-DNS 1.0.3 through 4.6 BIG-IP 2.1.2 through 4.6 Updated: 02/10/04 How do I configure syslog? Resolution: BIG-IP and 3-DNS use the standard UNIX log utility called syslog, which reads messages from TCP, UDP, and UNIX sockets. The UNIX socket is located in the /var/run/log= file, and messages from the kernel are located in the /dev/klog file. You can configure BIG-IP or 3-DNS to direct messages to files, a console, or to another syslog compliant server. Facilities The syslog utility can log to the following facilities: Name Facility Description auth User authentication system for non-sensitive information. authpriv User authentication system security sensitive information. cron The cron facility. daemon System server processes. ftp The ftp facility. kern The Kernel. lpr The printing subsystem. mail The mail subsystem. mark Timestamps produced at regular intervals. news News server processes. ntp The NTP time daemon. syslog syslog facility internal messages. user User processes. lucp The UUCP facility.
syslog日志服务器配置步骤
syslog 日志服务器配置步骤 一.作用 Linux 系统的日志主要分为两种类型 1. 进程所属日志: 由用户进程或其他系统服务进程自行生成的日志,比如服务器上的 access_log 与 error_log 日志文件。 2. syslog 消息: 系统 syslog 记录的日志,任何希望记录日志的系统进程或者用户进程 都可以给调用 syslog 来记录日志。 Syslog 程序就是用来记录这类日志的。 syslog 是 Linux 的日志子系统,日志文件详细地记录了系统每天发生的各种各样的事件。 用户可以通 过日志文件检查错误产生的原因, 或者在受到攻击和黑客入侵时追踪攻击者的踪 迹。日志的两个比较重要的作用是:审核和监测。 配置 syslog 中央服务器能够使所有服务器的系统信息都集中到某台特定的机器上,便于对 集群中机器的管理与检查 Linux 系统所有的日志文件都在 /var/log 下,且必须有 root 权限才能察看。 日志文件其实 是纯文本 的文件,每一行表示一个消息 , 而且都由四个域的固定格式组成 : 1. 时间标签 (timestamp ) ,表示消息发出的日期和时间。 2. 主机名 ( hostname ) ,表示生成消息的计算 可 能没有必要了。但是如果在网络环境中使用 送到一台服务器上集中处理。 3. 生成消息的子系统的名字。 可以是” kernel 表示发出消息的程序的名字。在方括号里的是进程的 4. 消息 ( message ) ,剩下的部分就是消息的内容。 syslog 配置文件 syslog 是 Linux 系统默认的日志守护进程。默认的 syslog 配置文件是 /etc/syslog.conf 文 件。syslog 守护进程是可配置的,它允许人们为每一种类型的系统信息精确地指定一个存放 地点。现在, 我们先看看 syslog.conf 文件的配置行格式(这个文件里的每一个配置行都是 同样的格式),然后再看一个完整的 syslog 配置文件。 syslog 配置行的格式如下所示: mail.*/var/log/mail 这一行由两个部分组成。第一个部分是一个或多个 设备后面跟一些空格字符, 然后是一个“操作动作” 1 设备 设备本身分为两个字段,之间用一个小数 点( 段是一个优先级。 设备其实是对消息类型的一种分类, 发送到不同的地方。在同一个 的 syslog 配置文件示例里看到同时有多个设备的配置行。 下面列出了绝大多数 Linux 操作系 统变体都可以识别的设备。 auth -由 pam_pwdb 报告的认证活动。 authpriv -包括特权信息如用户名在内的认证活动 机的名字。如果只有一台计算机,主机名就 syslog ,那么就可能要把不同主机的消息发 ”, 表示消息来自内核; 或者是进程的名字, PID 。 设备” ;上例中的设备是“ mail ”。 ;上例中的操作动作是: /var/log/mail .)分隔。前一字段是一项服务,后一字 这种分类便于人们把不 同类型的消息 syslog 配置行上允许出现一个以上的设备,但必须用分号( ;) 把它们分隔开。上面给出的例子里只有一个设备“ mail ”。大家可以在后面给出的那个完整
防火墙配置模式
前言 3 一、防火墙的概况、应用及功能 3 1.1 防火墙的定义 3 1.2防火墙的种类 4 1.2.2网络层防火墙 4 1.2.2应用层防火墙 4 1.2.3数据库防火墙 5 1.3 防火墙的功能 5 二、使用设置 5 2.1使用习惯 6 2.1.1所有防火墙文件规则必须更改 6 2.1 .2以最小的权限安装所有的访问规则 6 2.1.3 根据法规协议和更改需求来校验每项防火墙的更改 6 2.1.4当服务过期后从防火墙规则中删除无用的规则 7 2.2配置 7 2.3工作模式 8 2.3.1 透明网桥模式 8 2.3.1.1适用环境 9 2.3.1.2组网实例 9 2.3.2 路由模式 10 2.3.2.1适用环境 11 2.3.2.2NAT(网络地址转换) 11 2.3.2.3组网实例 12 三、总结 13
一、前言 随着计算机的日益发展,计算机早已深入到各个领域,计算机网络已无处不在。而internet的飞速发展,使计算机网络资源共享进一步加强。随之而来的安全问题也日益突出。在人们对网络的优越性还没有完全接受的时候,黑客攻击开始肆虐全球的各大网站;而病毒制造者们也在各显其能,从CIH到爱虫.中毒者不计其数。一般认为,计算机网络系统的安全威胁主要来自黑客的攻击、计算机病毒和拒绝服务攻击三个方面。目前,人们也开始重视来自网络内部的安全威胁。我们可以通过很多网络工具、设备和策略来为我们的网络提供安全防护。其中防火墙是运用非常广泛和效果最好的选择。然而购买了防火墙设备,却不是仅仅装上了硬件就能发挥作用的,而是需要根据你的网络结构和需求在合适的工作模式下配置相应的安全策略,才能满足你的安全需求。由此引出的问题和解决办法就是本文的主要研究对象。 一、防火墙的概况、应用及功能 1、防火墙的定义 所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。 在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)
Syslog的格式说明
Syslog的格式说明 设备必须通过一些规则来配置,以便显示或者传递事件信息。不管管理员决定怎样配置对事件信息的处理,把这些信息发送到syslog接受者的过程一般都由下面部分构成:决定哪个帮助信息要被发送,要被发送的级别,定义远程的接受者。 被传输的syslog信息的格式主要有3个容易识别出来的部分,分别是PRI、HEADER、MSG。数据包的长度小于1024个字节。PRI部分必须有3、4、5个字符,以“<”开头,然后是一个数字,并以“>”结尾。在方括号内的数字被称为优先级(Priority),由facility和severity两个值构成。信息中的facilities和severities通过十进制值进行数字的编码。一些操作系统的后台监控程序和进程被分配一个facility值,那些没有分配一个facility值的进程和daemons将会使用“local use”的facilities值或者“用户级别”的facilities值。下面的表格表示被指定的Facilities值和对应的数字代码。 Numerical Code Facility 0 kernel messages 1 user-level messages 2 mail system 3 system daemons 4 security/authorization messages 5 messages generated internally by syslogd 6 line printer subsystem 7 network news subsystem 8 UUCP subsystem 9 clock daemon 10 security/authorization messages 11 FTP daemon 12 NTP subsystem 13 log audit 14 log alert 15 clock daemon 16 local use 0 (local0) 17 local use 1 (local1) 18 local use 2 (local2) 19 local use 3 (local3) 20 local use 4 (local4) 21 local use 5 (local5) 22 local use 6 (local6) 23 local use 7 (local7) 表1 Syslog Message Facilities 每个信息优先级也有一个表示十进制Severity登记的参数, 下面的表格描述出他们和对应数值。 Numerical Code Severity 0 Emergency 应急EMERY,任何紧急情况,包括系统PANIC。 1 Alert 警报ALERT,任何需要立即注意的发生情况 2 Critical致命错误CRIT,设备发生了关键性问题情况,包括进程CRASH,OVERFLOW
东软防火墙配置过程
(一)初始化设备 1)初始化配置步骤: 1.用超级终端通过串口控制台连接(RJ-45 null-modem 线缆)来完成初始配置。完成初始配置后,可不再使用控制台。 2.打开NetEye 设备的电源开关。 3.终端控制台将显示如下提示: LILO 2 bootmgr Press key '2' to enter BOOTMGR command mode 该提示信息将显示约5 秒钟,在此期间输入1 并按回车。 4.配置设备。 Config the firewall or quit (y/n)(n)y 5.修改主机名。 Please input the host name for this system Host name:
(2) Chinese Please input a choice[1-2,q](2) <1、2 或q> 选择2,中文,回车 8.更改根管理员口令。(此步骤可选,但东软强烈建议首次登录后修改口令。) Changing default password of root(y/n)(y): Old password(6-128): neteye Password(6-128): < 新密码> Repeat Password(6-128): < 新密码> 这里我们不更改它的默认密码,选择n 9.添加根系统管理员及选择登录方式。 Creating an administrator(y/n)(y): Username: < 用户名> Please select a login type (1) Web (2) Telnet (3) SSH (4) SCM Please input a choice[1-4](1)(example: 1,2,3):1,2,3,4 Password(6-128): < 密码> Repeat Password(6-128): < 密码> 选择y,添加ycz用户,设备相应密码,Web管理,Telnet。
国内常见网络与安全、主机系统的syslog配置方法
1 UNIX主机 1.1 Solaris 通过Unix系统的Syslog服务转发系统日志到采集服务器,具体配置方法如下:1.提供Unix系统的IP地址 2.提供Unix系统的主机名称 3.在Unix系统/etc/syslog.conf文件最后追加以下2行 *.err &nbs p; @IP https://www.360docs.net/doc/c76279693.html, @IP @IP为采集机地址 4.用下面的命令重启syslog服务 ? 对于Solaris8,9 /etc/init.d/syslog stop /etc/init.d/syslog start ? 对于Solaris10 Svcadm restart system-log 1.2 HP-UX 通过Unix系统的Syslog服务转发系统日志到采集服务器,具体配置方法如下:1.提供Unix系统的IP地址 2.提供Unix系统的主机名称 3.在Unix系统/etc/syslog.conf文件最后追加以下2行 *.err @IP https://www.360docs.net/doc/c76279693.html, @IP @IP为采集机地址 下面的命令停止syslog服务 ps –ef|grep syslogd kill PID 5.下面的命令启动syslog服务 /usr/sbin/syslogd -D 1.3 AIX 通过Unix系统的Syslog服务转发系统日志到采集服务器,具体配置方法如下:1.提供Unix系统的IP地址 2.提供Unix系统的主机名称 3.在Unix系统/etc/syslog.conf文件最后追加以下2行 *.err @IP (中间以Tab健分割) https://www.360docs.net/doc/c76279693.html, @IP (中间以Tab健分割) 注:@IP为采集机地址 5.用下面的命令停止syslog服务 stopsrc -s syslogd 6.用下面的命令启动syslog服务
实验:防火墙基本配置
实验七交换机基本配置 一、实验目的 (1)使用R2611模块化路由器进行网络安全策略配置学习使用路由器进行初步的网络运行配置和网络管理,行能根据需要进行简单网络的规划和设计。 实验设备与器材 熟悉交换机开机界面; (2)掌握Quidway S系列中低端交换机几种常用配置方法; (3)掌握Quidway S系列中低端交换机基本配置命令。 二、实验环境 Quidway R2611模块化路由器、交换机、Console配置线缆、双绞线、PC。 交换机,标准Console配置线。 三、实验内容 学习使用Quidway R2611模块化路由器的访问控制列表(ACL)进行防火墙实验。 预备知识 1、防火墙 防火墙作为Internet访问控制的基本技术,其主要作用是监视和过滤通过它的数据包,根据自身所配置的访问控制策略决定该包应当被转发还是应当被抛弃,以拒绝非法用户访问网络并保障合法用户正常工作。 2、包过滤技术 一般情况下,包过滤是指对转发IP数据包的过滤。对路由器需要转发的数据包,先获取包头信息,包括IP层所承载的上层协议的协议号、数据包的源地址、目的地址、源端口号和目的端口号等,然后与设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃。 3、访问控制列表 路由器为了过滤数据包,需要配置一系列的规则,以决定什么样的数据包能够通过,这些规则就是通过访问控制列表ACL(Access Control List)定义的。
访问控制列表是由permit | deny语句组成的一系列有顺序的规则,这些规则根据数据包的源地址、目的地址、端口号等来描述。ACL通过这些规则对数据包进行分类,这些规则应用到路由器接口上,路由器根据这些规则判断哪些数据包可以接收,哪些数据包需要拒绝。 访问控制列表(Access Control List )的作用 访问控制列表可以用于防火墙; 访问控制列表可用于Qos(Quality of Service),对数据流量进行控制; 访问控制列表还可以用于地址转换; 在配置路由策略时,可以利用访问控制列表来作路由信息的过滤。 一个IP数据包如下图所示(图中IP所承载的上层协议为TCP) ACL示意图 ACL的分类 按照访问控制列表的用途,可以分为四类: ●基本的访问控制列表(basic acl) ●高级的访问控制列表(advanced acl) ●基于接口的访问控制列表(interface-based acl) ●基于MAC的访问控制列表(mac-based acl) 访问控制列表的使用用途是依靠数字的范围来指定的,1000~1999是基于接口的访问控制列表,2000~2999范围的数字型访问控制列表是基本的访问控制列表,3000~3999范围的数字型访问控制列表是高级的访问控制列表,4000~4999范围的数字型访问控制列表是基于MAC地址访问控制列表。 4、防火墙的配置项目 防火墙的配置包括:
华为交换机的 syslog功能
华为交换机的 syslog功能 1.1 日志功能 1. SYSLOG介绍 日志系统是以太网交换机中不可或缺的一部分,它是系统软件模块的信息枢纽。日志系统管理大多数的信息输出,并且能够进行细致的分类,从而能够有效地进行信息筛选。通过与debugging程序的结合,日志系统为网络管理员和开发人员监控网络运行情况和诊断网络故障提供了强有力的支持。 以太网交换机的日志系统具有以下一些特性: ? 支持控制台( Console )、监视终端( monitor )——Telnet终端、日志缓冲区( logbuf )、日志主机( loghost )、告警缓冲区(trapbuf)、SNMP六个方向的日志输出。 ? 日志信息按重要性划分为八种等级,可按等级进行信息过滤。 ? 信息按来源模块进行划分,可按模块进行信息过滤。 ? 信息在输出时可以进行中英文选择。 2. SYSLOG配置 SYSLOG配置的配置任务如下: ? 开启或关闭日志功能 ? 设置日志信息的输出方向 ? 定义日志信息的过滤规则 ? 配置日志主机 在以上的配置中,配置日志主机不是在交换机上进行的配置。必须先开启日志功能,其余的配置才能生效。 (1) 开启或关闭日志功能 可以使用下面的命令来开启或关闭日志功能。 请在系统视图下进行下列操作。 表1-1 开启或关闭日志功能 操作 命令 开启日志系统 info-center enable
关闭日志系统 undo info-center enable ? 说明: syslog缺省情况下处于开启状态。syslog开启时,由于信息分类、输出的原因,在处理信息较多时,对系统性能有一定的影响。 (2) 配置日志信息的输出方向 目前,以太网交换机的日志系统,可以在六个方向输出各种日志信息。每个输出方向通过配置命令指定所需要的通道。所有信息经过指定通道过滤,之后发送到相应的输出方向。用户可根据需要,配置输出方向所使用的通道以及配置通道的过滤信息,完成各类信息的过滤以及重定向。 可以使用下面的命令来配置日志信息的输出方向 请在系统视图下进行下列配置。 表1-2 输出日志信息 操作命令 向Console方向输出信息 info-center console channel{ channel-number | channel-name } 向Telnet终端或哑终端输出信息 info-center monitor channel { channel-number | channel-name } 向日志缓冲区输出信息 info-center logbuffer [ channel { channel-number | channel-name } ] [ max-size buffersize ] 取消向日志缓冲区输出信息 undo info-center logbuffer [ channel | max-size ] 向日志主机输出信息 info-center loghost host-ip-addr [ channel { channel-number | channel-name } ] [ facility local-number ] [ language { chinese | english } ] 取消向日志主机输出信息 undo logging host host-ip-addr 向告警缓冲区输出信息 info-center trapbuffer [ max-size buffersize ] [ channel { channel-number | channel-name } ] 取消向告警缓冲区输出信息 undo info-center trapbuffer [ channel | max-size ] 向SNMP输出信息 info-center snmp channel { channel-number | channel-name } 目前,系统对每个输出方向缺省分配一个信息通道,请参见下表。 表1-3 输出日志信息的信息通道名和通道号 输出方向信息通道号缺省的信息通道名
Syslog 配置介绍
Syslog 简介 Syslog是一个通过IP网络允许一台机器发送事件通知信息给事件收集者(Syslog服务器或者Syslog Daemon)的协议。换言之,就是一台机器或者设备能够被配置,使之产生Syslog 信息并且发送到一台特定的Syslog服务器/Daemon。 Syslog信息建立在UDP之上,一般Syslog信息在UDP514端口上被收集,Syslog信息的长度不大于1024字节。由于基于UDP协议,所以当如果因为网络拥塞等情况导致信息包丢失,那么信息将不再重发,而是简单的丢失掉。 Syslog协议是在Unix系统上被创建出来的。使用Syslog,一个远程Unix主机能够很好的跟踪另一台Unix主机。任何应用程序都能够产生Syslog信息。 格式 Syslog包的格式: 一个Syslog信息主要有三部分组成。分别是PRI,HEADER,MSG。 日志信息格式如下: <优先级>时间戳主机名模块名/级别/信息摘要:内容
H3C_syslog配置
netscreen syslog配置 netscreen的flash memory只保存4096条日志,但在网络访问量大的时候根本没用,最多一两天就被后面 的日志给冲掉,而且当防火墙重新启动不能保存日志。 web操作步骤: 1 用admin用户登陆web界面 2 选择Configuration->;Report Settings->;Syslog 3 点击'Enable Syslog' 4 假如你要把所有的传输日志全部记录,最好还要选择'Include Traffic Log' 5 输入日志服务器的地址和端口(udp端口514) 这个是一个叫Kevin Branch的友好提示: 所有的Netscreen policies (permit/deny/tunnel)最好全部有log的默认选项,这样可以全部如实录并传 送到日志服务(假如netscreen设置允许会话没有被指定拒绝) “Log Pa ckets Terminated to Self" 选项与访问netscreen的会话无关,但最好还是记录所有的会话给 netscreen自己保存,否则哪怕仅仅是管理防火墙,也会显示来自Internet的 消息。 命令行操作步骤: 1 set syslog configip_addresssecurity_facility 2 local_facility 3 set syslog enable 4 set syslog traffic 5 set log module system level level destination syslog 提示:当用set syslog config命令需要你定义一个安全facility(不知道怎 么翻译,我理解为安全级别),你 可以用set syslog命令提示选项来看 security_facility 和 local_facility。必须输入被设置的每个消息的安全层,选项如下:级别是从高到低 emergency (紧急事件) alert (警报) critical (危机) error (错误) warning (预告警) notification (通知) information (信息) =======================================================
syslog-系统日志应用
syslog 系统日志应用 1) 概述 syslog是Linux系统默认的日志守护进程。默认的syslog配置文件是/etc/syslog.conf文件。程序,守护进程和内核提供了访问系统的日志信息。因此,任何希望生成日志信息的程序都可以向 syslog 接口呼叫生成该信息。 几乎所有的网络设备都可以通过syslog协议,将日志信息以用户数据报协议(UDP)方式传送到远端服务器,远端接收日志服务器必须通过syslogd 监听UDP 端口514,并根据 syslog.conf配置文件中的配置处理本机,接收访问系统的日志信息,把指定的事件写入特定文件中,供后台数据库管理和响应之用。意味着可以让任何事件都登录到一台或多台服务器上,以备后台数据库用off-line(离线) 方法分析远端设备的事件。 通常,syslog 接受来自系统的各种功能的信息,每个信息都包括重要级。/etc/syslog.conf 文件通知 syslogd 如何根据设备和信息重要级别来报告信息。 2) etc/syslog.conf /etc/syslog.conf 文件使用下面的格式: facility.level action facility.level为选择条件本身分为两个字段,之间用一个小数点(.)分隔。action和facility.level之间使用TAB隔开。前一字段是一项服务,后一字段是一个优先级。选择条件其实是对消息类型的一种分类,这种分类便于人们把不同类型的消息发送到不同的地方。在同一个syslog配置行上允许出现一个以上的选择条件,但必须用分号(;)把它们分隔开。action字段所表示的活动具有许多灵活性,特别是,可以使用名称管道的作用是可以使 syslogd 生成后处理信息。 要素分析: facility 指定 syslog 功能,主要包括以下这些: kern 内核信息,首先通过 klogd 传递; user 用户进程; mail 邮件; daemon 后台进程; authpriv 授权信息; syslog 系统日志; lpr 打印信息; news 新闻组信息; uucp 由uucp生成的信息
东软防火墙配置过程
(一)初始化设备 1) 初始化配置步骤: 1.用超级终端通过串口控制台连接(RJ-45 null-modem 线缆)来完成初始配置。完成初始配置后,可不再使用控制台。 2.打开NetEye 设备的电源开关。 3.终端控制台将显示如下提示: LILO 22.7.1 1 NetEye_FW_4_2_build_200080.install 2 bootmgr Press key '2' to enter BOOTMGR command mode 该提示信息将显示约5 秒钟,在此期间输入1 并按回车。 4.配置设备。 Config the firewall or quit (y/n)(n)y 5.修改主机名。 Please input the host name for this system Host name:
10:22:36 7.设置系统语言。 Please set system language (1) English (2) Chinese Please input a choice[1-2,q](2) <1、2 或q> 选择2,中文,回车 8.更改根管理员口令。(此步骤可选,但东软强烈建议首次登录后修改口令。) Changing default password of root?(y/n)(y): Old password(6-128): neteye Password(6-128): < 新密码> Repeat Password(6-128): < 新密码> 这里我们不更改它的默认密码,选择n 9.添加根系统管理员及选择登录方式。 Creating an administrator?(y/n)(y): Username: < 用户名> Please select a login type (1) Web (2) Telnet (3) SSH
Syslog配置及使用简介
Syslog配置及使用简介 目录 Syslog配置及使用简介 (1) 1.Syslog简介 (2) 2.Syslog协议 (2) 2.1. syslog体系结构 (2) 2.2. syslog包格式 (2) 3.Syslog配置 (3) 3.1 概览 (4) 3.2选择符 (4) 3.3 动作 (4) 4.C语言中的syslog (5) 4.1 openlog (5) 4.2 syslog (5) 4.3 closelog (6) 4.4 setlogmask (6) 4.5例子 (6) 5.参考文献 (7)
1.Syslog简介 Syslog常被称作系统日志,在80年代作为sendmail的一部分而发布,由于其可用性,现在已成为用来在internet中传递日志信息的事实上的标准。这些传递日志的程序或数据库同时也被称作syslog。Syslog是主从式的协议,syslog发送端发送一些小的文字信息到syslog 接收端,接收端根据配置文件把收到的信息进行存储或者处理,或者再次进行转发。 Syslog通常被用作系统信息管理,由于其已在大多数系统上实现,所以它可以把不同类型主机上的信息集中整合到一起。但是它仍然有许多缺陷,表现在下面几个方面:Syslog 的传输是通过UDP或者TCP传输,安全性并不可靠。一般可以通过ssl加密壳来完成加密;syslog的实时性不好,只能通过更改配置加以改进。所以syslog主要用在安全性要求不高,实时性不强的地方。 2.Syslog协议 syslog使用UDP协议作为它的传输层协议,其默认使用UDP端口514。 2.1. syslog体系结构 syslog模糊了发送方、接收方,设备、中继以及收集器的区别,一台设备可以同时是某种日志信息的中继、也可以是另外某种信息的收集器,同时可以作为发送者发送日志: ●发送方发送日志信息至某个主机,并不知道这台主机会如何处理这些日志。 ●发送方可以通过配置,把同一条日志同时发送给多个接收者。 ●中继可以发送所有或者部分信息给后序接收者,这种情况下它不完全是中继,也是 一个收集信息者。 ●中继可以产生自己的日志信息发送给后序接收者,这种情况下它也是一个产生信息 的设备。 2.2. syslog包格式 Syslog包分为3个部分,PRI, HEADER,以及MSG,总长度不能超过1024个字节。 2.2.1 PRI PRI是priority的缩写,它代表了facility以及severity,即代表消息来源以及消息的严重程度。它必须是1、2或者3个十进制字符,用‘<’,‘>’括起后组成的串,它是由facility 以及severity构成,组成的方法是把facility的值乘以8,再加上severity的值。如facility取值local4(20), severiry为warning(4),那么pri的值为<164>。 Facility的取值如下表所示: Numerical Code Facility 0 kernel messages 1 user-level messages 2 mail system 3 system daemons 4 security/authorization messages 5 messages generated internally by syslogd 6 line printer subsystem 7 network news subsystem
Evtsys--轻松将Windows日志转换为SYSLOG
Evtsys--轻松将Windows日志转换为SYSLOG 们知道,无论是Unix、Linux、FreeBSD、Ubuntu,还是路由器、交换机,都会产生大量的日志,而这些,一般会以syslog的形式存在。调试过防火墙、入侵检测、安全审计等产品的朋友应该对SYSLOG熟悉,如果您还不了解SYSLOG,请登录百度或Google查询。 很多时候,我们需要对日志进行集中化管理,如各种操作系统、网络设备、安全设备,甚至应用系统、业务系统等,但是不知道你注意看上文了没:Windows的应用、安全、系统日志怎么办? Windows操作系统本身是可以产生很多日志的,如每次插拔U盘、服务的重启等,都会产生日志,这些信息会记录在操作系统中,如果我们想集中管理,怎么办?Windows操作系统本身并不支持把日志发送到SYSLOG服务器去 还好,我们有Evtsys。什么是Evtsys呢?如果你想下载Evtsys,请登录https://www.360docs.net/doc/c76279693.html,/p/eventlog-to-syslog/ 查看并获取最新更新。值得称道的是,程序仅仅有几十KB大小! 下载Evtsys后,将其复制到系统目录,XP下是Windows\system32目录。然后在CMD下执行: evtsys.exe -i -h 192.168.1.101 -p 514 这个是标准格式,亦可精简为: evtsys -i -h 192.168.1.101 参数说明: i是安装成Window服务; h是syslog服务器地址; p是syslog服务器的接收端口。 默认下,端口可以省略,默认是514. 启动Evtsys服务,命令是: net start evtsys 查看Windows的“服务”,发现在原本Event Log服务下面增加了一个“Eventlog to Syslog”,并且已经启动。
防火墙的配置及应用
防火墙的配置及应用 一、防火墙概念: 防火墙是指设置在不同网络之间,比如可信任的内部网和不可信的公共网,或者不同网络安全域之间的软硬件系统组合。 它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来保护企业内部网络的安全。防火墙是企业网络安全的屏蔽,它可以强化网络安全策略,对网络访问和内部资源使用进行监控审计,防止敏感信息的泄漏。 二、如何合理实施防火墙的配置呢? 1.动态包过滤技术,动态维护通过防火墙的所有通信的状态(连接),基于连接的过滤; 2.可以作为部署NAT(Network Address Translation,网络地址变换)的地点,利用NAT技术,将有限的IP地址动态或静态地与内部的IP地址对应起来,用来缓解地址空间短缺的问题; 3.可以设置信任域与不信任域之间数据出入的策略; 4.可以定义规则计划,使得系统在某一时可以自动启用和关闭策略; 5.具有详细的日志功能,提供防火墙符合规则报文的信息、系统管理信息、系统故障信息的记录,并支持日志服务器和日志导出; 6.具有IPSec VPN功能,可以实现跨互联网安全的远程访问; 7.具有邮件通知功能,可以将系统的告警通过发送邮件通知网络管理员; 8.具有攻击防护功能对不规则的IP、TCP报或超过经验阀值的TCP半连接、UDP报文以及ICMP报文采取丢弃; 9.Web中的Java, ActiveX, Cookie、URL关键字、Proxy进行过滤。 三、Windows 系统中的防火墙实例 1、打开Windows XP的访问控制面板,这里包括Windows 自带防火墙。
防火墙配置
第1章防火墙配置 1.1 防火墙简介 防火墙一方面阻止来自因特网的对受保护网络的未授权的访问,另一方面允许 内部网络的用户对因特网进行Web访问或收发E-mail等。 应用:1)作为一个访问网络的权限控制关口,如允许组织内的特定的主机可以 访问外网。2)在组织网络内部保护大型机和重要的资源(如数据)。对受保护 数据的访问都必须经过防火墙的过滤,即使网络内部用户要访问受保护的数据, 也要经过防火墙。 类型:目前设备中的防火墙主要是指基于访问控制列表(ACL)的包过滤(以 下简称ACL/包过滤)、基于应用层状态的包过滤(以下简称状态防火墙ASPF, Application Specific Packet Filter)和地址转换。 1.1.1 ACL/包过滤防火墙简介 ACL/包过滤应用在设备中,为设备增加了对数据包的过滤功能。 工作过程:对设备需要转发的数据包,先获取数据包的包头信息,包括IP层所 承载的上层协议的协议号、数据包的源地址、目的地址、源端口和目的端口等, 然后和设定的ACL(访问控制列表)规则进行比较,根据比较的结果决定对数 据包进行相应的处理。 1.2 包过滤防火墙配置 1.启用防火墙功能 进入系统视图system-view 启用防火墙功能firewall enable 2.配置防火墙的缺省过滤方式 防火墙的缺省过滤方式,即在没有一个合适的规则去判定用户数据包是否可以通过的时候,防火墙采取的策略是允许还是禁止该数据包通过。在防火墙开启时,缺省过滤方式为“允许”进入系统视图system-view 设置缺省过滤方式为“允许”或“禁止”firewall default { permit | deny } 3.配置访问控制列表 4.在接口上应用访问控制列表
syslog协议
RFC3164 - The BSD Syslog Protocol 文档状态 本文档提供了互联网委员会的信息。它不指定任何一种网络规范。对本文档的发布是不受限制的。 摘要 本文描述了syslog协议的实测行为。本协议在互联网上已经使用了很多年,是用来传送事件通知信息的。最初,这个协议在University of California Berkeley Software Distribution (BSD) TCP/IP系统实现中开发,它的实现和管理价值在于,它可以让不同系统相互通信,同时可以嵌入其他网络产品中。 目录 1. 概述 从一开始,生命依赖于信息的传递。对于有自我意识的有机物单位来说,这些信息可以传达很多信息。可能表示危险,食物或其他生命的必需品,以及其他东西。在很多情况下,这些信息被传递到其他个体中,不需要任何应答。和人类交流和创建的过程一样,这些简单的道理同样适用于社会联系。例如,严重的气象预报可能由很多频道同时播出,一场飓风的将保通过电视和电台以及船上的旗语同时传递。在大多数情况下,不对这些警告信息进行任何应答是需要的,或者是期望的。遵循同样的原则,操作系统,进程和应用程序都会发送自己状态的信息,或表示某种事件发生的信息。这些事件信息对于机器操作者通常是很重要的。当操作系统,进程和应用程序变得越来越复杂后,系统开始致力于将这些信息进行分来和日志记录,同时可以让操作人员更快速的从简单的状态信息中区分出问题的通知。Syslog进程是这种系统中被很多操作系统广泛接受的。这个进程的灵活性可以让操作人员配置发送从哪台机器的进程中发出。从一个方面来说,syslog进程接受到的信息可以保存在不同的文件中,同时在设备的控制台进行显示。从另一个方面来说,syslog进程可以通过配置将信息转发到网络中的另一台syslog进程中。Syslog进程对少量事件可以进行网络提醒,因为它知道很多系统操作员没有时间访问系统来查看注册在这里的信息。运行在远程设备上的Syslog进程,可以配置成为将信息加入文件中,或继续转发到其他机器中。 用最简单的话将,syslog协议提供了一种让机器通过IP网络将信息发送通知信息到事件接收器(syslog服务器)的功能。因为每一个进程,应用程序和操作系统是分开开发的,syslog 的信息的内容大多都是不同的。正因为这个原因,组成信息的内容没有任何假设。这个协议只是简单的传递这些信息。在任何情况下,有一个设备发出消息。那台机器上的Syslog进程可能将信息发送给收集器。不需要任何应答。 Syslog协议和进程的基本原则是它的简单性。在发送者和接收者之间不需要协调。实际上,syslog信息的发送者可以在接收者没有配置好或根本不存在的情况下进行发送。相反,很多设备会在没有任何配置和定义的情况下收到消息。这种简单性让syslog更容易接受和部署。
syslog 配置
目录 目录 (1) syslog 配置 (2) 第一章类UNIX系统syslog配置 (2) 一、syslog.conf文件配置说明 (2) 二、Syslog 服务启停: (3) 三、测试产生日志 (4) 第二章Windows 平台syslog配置 (4) 一、安装配置 (4) 二、参数说明: (4) 第三章网络设备syslog配置 (4) 一、配置步骤 (4) 二、检验结果 (5)
syslog 配置 第一章类UNIX系统syslog配置 一、syslog.conf文件配置说明 /etc/syslog.con f文件中的一项配置记录由“选项”(selector)和“动作”(action)两个部分组成,两者间用tab制表符进行分隔。而“选项”又由一个或多个形如“类型.级别”格式的保留字段组合而成,各保留字段间用分号分隔。 保留字段中的“类型”代表信息产生的源头,可以是: kern 由kernel产生的信息; user 由用户进程产生的信息。对那些由程序或不在此列出的工具产生的信息,其缺省类型都是“user”; mail 邮件系统产生的信息; daemon 系统守护进程的信息,如in.ftpd、telnetd; auth 由login, su, gett y等进行身份认证时产生的信息; s yslog 由s yslogd自己内部产生的信息; lpr 行打印spooling系统的信息; news USENET 网络新闻系统的信息; uucp UUCP系统信息; cron cron和at工具信息; local0-7 保留为local使用; mark syslogd内部产生的时间戳信息; * 除mark之外的所有其它类型(此符号不可用以代表所有级别)。 保留字段中的“级别”代表信息的重要性,可以是: emerg 紧急,处于Panic状态。通常应广播到所有用户; alert 告警,当前状态必须立即进行纠正。例如,系统数据库崩溃; crit 关键状态的警告。例如,硬件故障;