【项目记录】Linux日志审计系统

项目时期

大学

项目详情

第一章 作品概述

本作品实现了对客户端的Linux系统日志审计以及警报。使用者只需预留用于警报的邮箱，在客户端部署软件，即可实现对Linux系统日志的转发分析以及通过客户预留的邮箱进行警报，适用于Linux个体以及集群对系统的实时监听。

实现日志转发、审计和报警的工作、一键部署rsyslog环境、利用rsyslog转发日志、分析处理日志mysql数据库、用java搭建可视化界面与WEB可视化界面并实现警报功能。

第二章 作品设计与实现

2.1 作品简介

在Linux系统上，找出日志文件并在服务器监控客户机的操作，然后对传送过来的日志保存在数据中并进行安全性分析，若检测到客户机的操作超出权限范围或者该操作危险性过高或不合法，即进行自动判断，则系统会马上发出警报（发送邮箱邮件），并将非法操作记录收集起来，若构成犯罪则记录用以提供证据。

该软件对系统日志进行处理、分类、可视化展示，并提供筛选，定时刷新，定时对客户发送日志详情以及警报等功能。软件界面如下图：

2.2 设计思路

Linux庞大规模和不断普及使Linux系统的安全威胁大大的增长，系统管理人员面临着越来越严峻的考验。为了在第一时间发现系统的恶意行为并警告管理者，作品实时对系统日志进行统计分析，找出可疑的操作并通过邮件报告给管理者。从而使管理者即使不在电脑旁边，也能知道电脑的最新动态。考虑到数据在客户本机保存的不安全性，所以我们采用客户端——服务器的方式进行客户系统日志审计。

用客户端——服务器的方式进行系统日志审计，既能保证服务器一对多的同时进行日志审计，也能安全地储存信息，甚至作为攻击者的犯罪证据。其次，服务器上应有统一管理的后台。考虑到系统日志文件可读性较差，所以我们开发一个带可视化界面的后台管理软件，用以针对客户的需求更改相关报警条件等要求。

• 日志的级别有：

2.3 功能

2.3.1 一键配置

为了使用rsyslog的日志转发功能，需要对rsyslog以及数据库进行配置。用户只需要运行一个shell程序，即可对Linux系统进行一键配置，其中包括对rsyslog的环境部署以及对配置文件的相关修改。

2.3.2 服务器端配置

在管理员模式下安装java环境后则可以进行服务器的配置，流程如下：

1）利用# java -jar Linux日志审计系统.jar命令打开软件

2）点击“Set（First Use）”

3）点击“一键配置服务器环境”，进行环境配置，成功后如下图

4）点击“一键配置服务器数据库”，进行数据库配置，成功后如下图

5）回到主界面，点击“I’m Server”

6）输入账号“admin”,密码“newsoft”，数据库密码“abc123”,点击“登录”,进入到程序主界面

2.3.3 客户器端配置

1）打开程序，点击“I’m Clinet”

2）点击“配置客户端环境”，完成后在把IP地址修改为Server服务器的IP地址：

2.3.4 信息的统计与分析

基于linux系统对客户系统日志进行可视化展示，对日志信息进行归类筛选，筛选条件有主机，优先级，日志时间等。用户可以明确看到每一份日志对应的id号、主机ip、设施、优先级、执行时间以及其他详细信息。

2.3.5 邮件警告

邮件的发送间隔可按意愿设置，进行定时发送，如设置每24小时发送邮件，则发送内容为这24小时内的所有日志到数据库进行存储，设置界面如图（5）；当分析出威胁程度高的操作时（日志危险等级达到0_{3级时），可以马上将警告发送到的客户预留的邮箱，让客户第一时间处理问题，尽可能地减少损失。做出警报的标准可手动设置（默认等级为0}3级），如图（6）；亦可以定时将所有日志信息发送至客户邮箱，以便让客户知道客户端的实时情况；此功能的前提是要绑定相关邮箱，可绑定多个邮箱，让多方管理员同时管理并知晓系统的情况。

2.4 软件流程

第三章 WEB审计界面

对数据进行可视化，分别为“每天操作数量、IP占比、设施分布图、优先级分布图、”

图3.1 主界面、登录界面

图3.2 每天操作数量界面

图3.3 IP占比界面

图3.4 设施分布图界面

图3.5 优先级分布图界面

第四章 总结

在当今互联网环境中，安全事件随处可见。除了传统的安全日志之外，需要采用一种可以暴露各种可能得攻击载体的活动模式方式来收集和监视应用程序日志数据。企业往往希望将日志收集和事件关联结合起来，作为监视问些并对其作出快速反应。

日志是管理员的得力助手，一个小小的日志能为管理员提供更可靠的信息，可以判别系统是否发生过入侵、数据损毁、了解应用程序运行状态是否正常等，同时也为系统运行提供了可靠的保障。要想利用好日志，必须要了解日志、认识日志，更要熟悉日志结构，对于刚上手的管理员来说，这个门槛还是比较高的。所以再为日志加上图形界面形象地把日志展示出来就非常必要。充分利用本软件，可以大大降低管理人员的工作量。网络管理人员可以根据警报邮件的信息，有针对性地对Linux系统进行修复。可见，日志审计系统能给我们的工作提供很大的保障。

随着Linux用户的不断增多，Linux主机数量不断地增加，我们的客户端——服务器模式起到了很大的作用。客户端——服务器模式允许我们的日志服务器并行地处理多个Linux系统发送过来的日志审计请求，迎合了Linux系统安全这个隐形但正在不断扩张的市场。