描述:网络管理员可以根据日志来检查错误发生的原因或者受到攻击时攻击者留下的痕迹,可以使系统管理员快速对潜在的系统入侵做出记录和预测。
一、获取和管理网络系统日志
网络系统日志的概念
日志(log):
是指系统所指对象的某些操作和其操作结果按时间有序的集合。
作用:
(1) 监控系统资源
(2) 审计用户行为
(3) 对可疑行为进行告警
(4) 确定入侵行为的范围
(5) 为恢复系统提供帮助
(6) 生成调查报告
(7) 为打击计算机犯罪提供证据来源
网络系统日志的格式(后缀.Log)
Windows NT/2003的系统日志文件包括:
(1) 应用程序日志
(2) 安全日志
(3) 系统日志
(4) DNS服务日志
(5) FTP连接日志
(6) HTTPD日志
网络设备日志
路由器日志消息可以记录系统错误、网络变化、接口状态、登录失败、访问列表匹配情况
可提供的类型:
(1) 路由器配置的改变和重新启动信息
(2) 违反访问列表的数据信息
(3) 接口改变和网络状态
(4) 违反路由器密文安全的操作
路由器不能记录的有:
(1) EXEC优先级别的改变
(2) 密码的改变
(3) 通过SNMP对配置进行改变
(4) 在NVRAM中存储新的配置信息
日志消息格式:
(1) 生成消息时间
(2) 日志消息名称
(3) 严重等级以及消息正文
日志消息根据严重等级进行分类,编号越低,消息就越严重
日志消息可用五种不同方法进行管理可以将五个目标或这些目标的任意组合
(1) 控制台日志
命令
router(config)#logging console notifications
router(config)#logging on
(2) 缓冲区日志
命令
router(config)#logging buffered informational
router(config)#logging buffered 32768
(3) 终端级路日志
命令
router(config)#terminal monitor
(4) Syslog日志
命令
router(config)#logging
(5) SNMP
是一种帮助网络设备之间交换管理信息的应用层协议,是TCP/IP的一部分
优点:
使网络管理员可以管路网络性能,发现并解决网络问题以及预计网络的增长
二、根据网络系统日志跟踪与分析网络系统的性能变化
FDP日志分析
FTP日志和WWW日志在默认情况下,每天生成一个日志文件,包含了该日的一切记录,文件名通常为ex(年份)(月份)(日期)
www日志分析
WW服务器同FTP一样,穿绳的日志也是在目录下,默认每天一个日志文件
项目总结:
主要学习了网络日志资源数据采集、分析办法,根据网络系统日志跟踪与分析网络系统的性能变化