什么是系统日志
系统日志由 Linux/Unix 和其他网络设备(如交换机、路由器和防火墙)生成。系统日志包含有价值的信息,有助于保护网络和解决操作问题。因此,收集和分析系统日志至关重要。
系统日志包含什么
系统日志标准包含三个不同的层:
- 系统日志内容:包含日志信息。
- 系统日志应用程序:帮助在系统日志服务器中生成、解释和存储日志的应用程序。
- 系统日志传输:将日志传输到不同的目的地,如终端线路、控制台线路、日志记录缓冲区和系统日志服务器。
系统日志数据包包含什么
每个 Syslog 数据包包含三个部分,默认情况下限制为 1024 字节 (1kb),这种格式可以更轻松地解析和分析收集的日志。
- PRI
- 标头(header)
- MSG
PRI - 优先级值
系统日志的 PRI 部分表示消息的设施和严重性。如中所述RFC 3164 标准、设施和严重性与预先确定的数值进行映射,设施表示可以生成日志的组件或应用程序。
| 数字代码 | 设施 |
|---|---|
| 0 | 内核消息 |
| 1 | 用户级消息 |
| 2 | 邮件系统布置 |
| 3 | 系统守护进程 |
| 4 | 安全/授权消息 |
| 5 | 系统日志内部生成的消息 |
| 6 | 行式打印机子系统 |
| 7 | 网络新闻子系统 |
| 8 | 统一实验方案子系统 |
| 9 | 时钟守护进程 |
| 10 | 安全/授权消息 |
| 11 | FTP 守护程序 |
| 12 | NTP 子系统 |
| 13 | 日志审计 |
| 14 | 日志警报 |
| 15 | 时钟守护进程 |
| 16 | 本地使用 0 |
| 17 | 本地使用 1 |
| 18 | 本地使用 2 |
| 19 | 本地使用 3 |
| 20 | 本地使用 4 |
| 21 | 本地使用 5 |
| 22 | 本地使用 6 |
| 23 | 本地使用 7 |
严重性代码:
| 数字代码 | 程度 |
|---|---|
| 0 | 紧急 |
| 1 | 警报 |
| 2 | 危急 |
| 3 | 错误 |
| 4 | 警告 |
| 5 | 通知 |
| 6 | 信息 |
| 7 | 调试 |
Priority value = Facility Value * 8 + Severity Value.
使用此公式计算的值将出现在 Syslog 数据包的 PRI 部分中。
标头(header)
标头部分包含网络设备的时间戳和 IP 地址或主机名,时间戳表示特定设备生成的消息的日期和时间,所有网络设备的时间应同步,以避免在查看时间戳时出现混淆。
MSG-消息部分
消息部分包含标记和内容,TAG 是指生成消息/日志的应用程序或程序,内容是指生成的消息。
系统日志存储在哪里
所有系统日志都存储在var/log/syslog或变量/日志/消息.它们可以根据事件类型存储在不同的位置。例如,安全事件存储在var/log/auth.log或变量/日志/安全,可以从var/log/kern可以从以下位置访问.log和 MySQL 事件var/log/mysql.
如何收集系统日志
系统日志记录协议 (syslog) 旨在标准化网络设备用于与日志服务器通信的消息格式。网络上的路由器、交换机、防火墙和 Unix/Linux 服务器等许多设备都支持它,从而更轻松地管理这些设备生成的日志。
系统日志监控和管理对于每个组织减少系统停机时间、提高网络性能和加强企业的安全策略都很重要。
每个系统日志服务器都包含两个通用组件,有助于收集、存储和分析过程:
- 系统日志侦听器:用户数据报协议侦听器端口收集它从所有网络设备接收的所有系统日志消息。
- 数据库:由于网络设备每秒生成大量数据,因此服务器应该能够处理它收到的如此大量的系统日志消息。
标准系统日志服务器提供基本的分析功能,例如查看和过滤日志数据。因此,为了确定单个问题,管理员通常必须花费大量时间筛选成堆的系统日志。
如何有效地监控系统日志
Syslogs 可帮助安全管理员分析关键事件,例如授权失败和异常配置更改。由于系统日志包含诸如谁在何时何地执行了哪些操作等信息,因此启用日志记录、集中收集系统日志并对其进行深入分析以增强网络安全性变得至关重要。
EventLog Analyzer是一个有效的日志管理解决方案,可以收集,过滤,解析和分析系统日志,并生成全面的报告,使任何网络的系统日志审计和监控都变得容易。
如何帮助管理系统日志数据
EventLog Analyzer 凭借其内置的系统日志服务器,EventLog Analyzer 从各种风格的 Unix 操作系统(如 RedHat、Debian、Open SUSE、OpenBSD、Ubuntu、Solaris、HP-UX、IBM AIX 等)收集系统日志事件。收集后,将分析系统日志,并在仪表板上显示的简明报告中显示有关网络活动的见解。
EventLog Analyzer 的系统日志管理功能包括:
- 实时警报系统:具有 300 多个预定义的警报条件,可以快速识别安全事件并向管理员发送实时短信或电子邮件通知。
- 强大的关联引擎:提供基于规则的传入系统日志关联,使管理员能够发现外部攻击、分析其模式并识别网络漏洞。
- 图形仪表板:该解决方案的直观仪表板以图形和图表的形式显示信息,便于解释系统日志数据。通过根据严重性、类别、警报等组织数据,管理员可以立即识别 IT 运营问题和安全威胁。
- 开箱即用的报告:包括 1,000 多个开箱即用的报告,该解决方案还具有自定义报告生成器,该生成器提供了基于多个条件(如系统日志事件类型、严重性、来源等)构建报告的选项。
系统日志监控的优势
使用EventLog Analyzer 实施有效的系统日志监控有助于:
- 提高安全性。
- 了解网络基础设施问题。
- 快速检测网络中断和协议故障。
EventLog Analyzer 收集、过滤和组织由网络上的路由器、交换机、防火墙和 Unix/Linux 服务器等设备生成的系统日志消息。它使管理员能够通过短信或电子邮件为某些事件设置实时警报,以通知网络中存在的威胁。借助全面且易于遵循的报告和仪表板,管理员可以可视化网络基础架构中的潜在问题。
