标签： syslog

日志文件能够详细记录系统每天发生的各种各样的事件，对网络安全起着非常的重要作用。网络中心有大量安全 设备，将所有的安全设备逐个查看是非常费时费力的。另外，由于安全设备的缓存器以先进先出的队列模式处理日志记录，保存时间不长的记录将被刷新，一些重要 的日志记录有可能被覆盖。因此在日常网络安全管理中应该建立起一套有效的日志数据采集方法，将所有安全设备的日志记录汇总，便于管理和查询，从中提取出有 用的日志...

好像游侠已经很久没有写点什么了，今晚发一个吧。今天游侠给大家带来的软件来自全球第一大在线软件商——卓豪软件（ZOHO），工具名称为“Free Syslog Forwarder Tool”，免费的syslog转发工具。 有这样一种场景：我们有多个日志服务器，或者说日志分析平台，但是很多路由器、交换机、防火墙等设备仅支持把syslog转发到一个syslog服务器，那么这时候就可以用到Free Sysl...

　　在大型网络中，我们需要对各类设备，如路由器、交换机、防火墙、Windows/Linux服务器、数据库等进行统一的运维日志管理，以及时了解网络的运维状况。

　　有朋友问：VMware支持syslog外发吗？这个——当然支持！

　　VMware ESXi 5默认支持syslog的转发。用VMware vSphere Client（当然，你登录的账号要有响应权限，默认root是有的）登录

此前游侠曾经在博客上给大家介绍过Windows平台下的日志转换为syslog的工具，工具总是很多的，今天再给大家推荐一款——nxlog。安装，因为是msi格式的，因此不说了。需要很简单的配置。

　　昨天游侠的 [常见Windows日志转SYSLOG工具使用] 被网界网转载并推荐。

随着信息技术的高速发展，网络中的设备越来越多，渐渐的我们发现依赖传统手段去一台台分析设备的日志已经严重影响了我们的工作效率，并无法对业务系统的可用性提供保障，是时候对运维日志进行集中管理了。

题外话：很抱歉各位，因为最近在打理网店（http://miss-life.taobao.com），所以一直没有时间更新博客，企业内部的上网行为管理是网络管理员必须要接触到一项技能，以前的时候我们公司使用的是网络岗这款软件，但经常会出现一些问题，比如员工突然无法上网，频率很高，后来公司又试用了一款硬件设备网络警察（名字具体我记不不清楚了），硬件设备的功能和效果非常强大，如果经济情况允许，还是建议上这些设备，而此篇文章的目的皆是为了给没钱或者老板不愿意花钱而又想达到企业内部的流量和行为管理的各位管理员一个解决方案，同样也为了技术方面的交流。

...

演示环境： 

 Windows 2003 Server(服务器端)，Windows Xp(客户端)

 Kiwi Syslog 9.2（30天试用版），Evtsys 4.4.0（evetlog to syslog）

Kiwi Syslog 9.2 可到官方（http://www.kiwisyslog.com/）下载免费受限版本和注册版本

我这里提供 Kiwi Syslog8.3.7破解版的下载地址：http://dl.dbank.com/c0e2703bog

安装过程

日志服务器:192.168.1.220【系统平台：Red Hat Enterprise Linux Server release 5.2 (Tikanga)】
测试机：192.168.2.206【系统平台：Red Hat Enterprise Linux Server release 5.3 (Tikanga)】

日志服务器：
1、编辑/etc/sysconfig/syslog：
SYSLOGD_OPTIONS="-m 0"
为
SYSLOGD_OPTIONS="-m 0 -r"
2、重启syslog服务，会发现UDP的514端口处于监听状态。
...

WEB服务器多的时候检查日志是一件痛苦的事情，用 perl 脚本登录到服务器上grep一些错误信息两次之后就觉得是纯体力活，想办法偷懒。

准备弄一台统一的日志服务器，将登录认证，系统日志等全部发送到这台日志服务器上，可以做监控分析，也能即时获取最新日志。

系统自带的 syslogd 能实现远程日志服务，只要在 /etc/syslogconfig/syslog 文件中 SYSLOGD_OPTIONS参数中加上 -r 选项后就可以接受远程机器发过来的日志，比较省事。就这样用了几天，发现每天的日志量都比较大，grep 日志文件也是件痛苦的事情。
...

　　在比较大规模的网络应用或者对安全有一定要求的应用中，通常需要对系统的日志进行记录分类并审核，默认情况下，每个系统会在本地硬盘上记录自己的日志，这样虽然也能有日志记录，但是有很多缺点：首先是管理不便，当服务器数量比较多的时候，登陆每台服务器去管理分析日志会十分不便，其次是安全问题，一旦有入侵者登陆系统，他可以轻松的删除所有日志，系统安全分析人员不能得到任何入侵信息。

　　因此，在网络中安排

　　不断跟踪你的系统正在做什么--这是良好的IT管理流程中最重要，但也是最乏味的一环。在审计过程中，与特定标准匹配的事件将记录到计算机的事件日志（event log）中，帮助你完成这个重要的管理任务。在本讲座中，我将讨论审计和事件日志，并且教你如何完成这个工作。

　　审计设置中的选项

　　审计控制和属性要通过Windows 2000、Windows XP和Windows Server 2003等操作系统中的组策略对象进行修改。假设你的计算机正在加入一个活动目录域，你可以在计算机配置->Windows设置->安全设置->本地策略->审计策略目录下面的默认域策略中找到域审计策略。此外，你还可以通过控制面板中的管理工具模板查看这个本地安全策略。
...

　　有一篇来自英国的IT自由撰稿人写的博文，对日志管理（Log Management，LM）这个技术进行了一番自己的分析。可以说，全世界IT人士对LM的认识基本上都是一致的，包括对LM的作用、意义、技术架构和难点等。英国和美国的LM驱动力是类似的，那就是内控与合规。Kevin将合规分为三种类型：

　　1）法律要求的合规，就像是美国的SOX，国内例如刑七

　　2）商业领域的合规要求：就是行业规范，例如PCI-DSS，国内例如金融行业的内控指引，《企业内部控制规范》等；

　　3）政府领域的合规要求：就是政府的行政机构必须要遵守的合规性条款。例如英国的CoCo，当然美国有FISMA，中国的政府领域不仅包括行政机构，还有行政事业性单位，甚至国有企业，那就是等级保护了。
...

本脚本用于通过Active Directory安装evtsys.exe
如果您不了解evtsys.exe，请参考：
[游侠原创：Evtsys--轻松将Windows日志转换为SYSLOG]

我们知道，无论是Unix、Linux、FreeBSD、Ubuntu，还是路由器、交换机，都会产生大量的日志，而这些，一般会以syslog的形式存在。调试过防火墙、入侵检测、安全审计等产品的朋友应该对SYSLOG熟悉，如果您还不了解SYSLOG，请登录百度或Google查询。