1、电子商务运行与管理,查看并记录设备运行日志 江平,查看并记录设备运行日志,安全策略的审核日志的简单分析日志的集中管理,安全策略的审核,第一步:选择【开始】 【设置】 【控制面板】 【管理工具】 【本地安全设置】,双击打开。,安全策略的审核,第二步:在【本地安全设置】 展开【本地策略】 找到【审核策略】,单击显示相关策略。,安全策略的审核,第三步:在右侧相关策略中选择要改策略右击后在快捷菜单中选择【属性】。,安全策略的审核,第四步:在弹出【更改属性】对话框中选上【成功】 【失败】然后点击【确定】 。,日志的简单分析,第一步:右击【我的电脑】找到【管理】单击打开。,日志的简单分析,第二步:展开【系
2、统工具】选择【条件查看器】再选择【运用程序】双击打开。,日志的简单分析,第三步:在右侧相关应用程序日志中双击打开任一条信息。,日志的简单分析,第四步:在【计算机管理】界面选择【安全】右栏出现相关安全性日志,双击打开。,日志的简单分析,第四步:在【计算机管理】界面选择【系统】右栏出现相关系统日志,双击打开任一条。,日志的集中管理,默认情况下系统会在本地硬盘记录自己日志。缺点:管理不便;安全问题。比较理想的方案:在网络中安排一台专用的日志服务器来记录系统日志。比如,FreeBSD操作系统下的SYSLog,日志的集中管理,1、SYSLog信息收集SYSLog记录日志格式:X月X日 hh: mm: s
3、s 主机名 标志: 日志内容直接发送到日志服务器。先发到中继站再转发到日志服务器;可以经过多次中继站转发,还可以同时发送多个日志服务器。,日志的集中管理,2、日志服务器配置步骤一:配置FreeBSD的SYSLog,允许接受其他服务器的log信息。在/etc/rc.conf中加入:syslogd_flags=“-4-a0/0:*”步骤二:修改好syslogd参数,修改/etc/syslog.conf文件,指定log的存储路径。步骤三:重启syslogd服务,让配置生效: /etc/rc.d/syslogd restart 。,日志的集中管理,3、记录UNIX类主机(客户端)的log信息步骤一:修
4、改/etc/syslog.conf文件。步骤二:重启一下syelog服务:Linux:/etc/init.d/syslogd restartBSD: /etc/rc.d/syslogd restart步骤三:用logger测试一下是否配置成功:Logger p authpriv.notice“ ”,日志的集中管理,4、记录Windows类主机(服务器)的log信息日志格式,记录软件、方式不同。需要第三方软件将Windows日志转换成syslog日志再转发。例如:evtsys(全称evntlog to syslog)下载地址:http:/engineering.purdue.edu/国内网址:h
5、ttp:/ 【运行】输入“cmd” 单击【确定】步骤三:在命令行界面输入以下命令:C:evtsys-i-h 192.168.10,100步骤四:启动evtsys服务,命令如下:C:net start evtsys步骤五:开启需要审核的策略步骤六:配置服务器FreeBSD的SYSLog,在/etc/syslog.conf中加入daemon.notice|/var/log/filter_log.sh,日志的集中管理,5、了解日志编程(1)syslog编程Openlog():1)标志字符串,默认为程序名称;2)选项,一些标志位的组合;3)类型。Syslog():主要参数priority表示该条日志级
6、别;分8级。Closelog():关闭日志记录。,日志的集中管理,5、了解日志编程(2)服务器编程在linux下提供sysklogd的SYSLog服务器的实现,可以记录本机日志,接受和转发外部日志。Sysklogd包括klogd和syslogd,klogd用于接收内核日志再发给syslogd,syslogd通过socket(AF_NUIX)直接接收应用程序和远程日志。默认情况下,SYSLog通过UDP协议数据包向日志服务的514监听端口发送数据。,日志的集中管理,6、SYSLog应用 日志数据接收后,可以存入数据库中,在对数据库中的记录进行审计、分析和统计,生成图表的报表,有效预防事故或病毒等不利情况的扩展和蔓延。SYSLog是UNIX、Windows系统中提供的一种日志记录方法,SYSLog本身是一个服务器,程序中凡是使用SYSLog记录的信息都会发送到该服务器,服务器根据配置决定信息是否记录和存储地方。方便系统运行状态的监控和管理;提高管理水平和效率;统一格式记录方便审计。,
