查看并记录设备运行日志.ppt

电子商务运行与管理,查看并记录设备运行日志 江平,查看并记录设备运行日志,安全策略的审核 日志的简单分析 日志的集中管理,安全策略的审核,第一步：选择【开始】 【设置】 【控制面板】 【管理工具】 【本地安全设置】，双击打开。,安全策略的审核,第二步：在【本地安全设置】 展开【本地策略】 找到【审核策略】，单击显示相关策略。,安全策略的审核,第三步：在右侧相关策略中选择要改策略右击后在快捷菜单中选择【属性】。,安全策略的审核,第四步：在弹出【更改属性】对话框中选上【成功】 【失败】然后点击【确定】 。,日志的简单分析,第一步：右击【我的电脑】找到【管理】单击打开。,日志的简单分析,第二步：展开【系统工具】选择【条件查看器】再选择【运用程序】双击打开。,日志的简单分析,第三步：在右侧相关应用程序日志中双击打开任一条信息。,日志的简单分析,第四步：在【计算机管理】界面选择【安全】右栏出现相关安全性日志，双击打开。,日志的简单分析,第四步：在【计算机管理】界面选择【系统】右栏出现相关系统日志，双击打开任一条。,日志的集中管理,默认情况下系统会在本地硬盘记录自己日志。 缺点：管理不便；安全问题。 比较理想的方案：在网络中安排一台专用的日志服务器来记录系统日志。 比如，FreeBSD操作系统下的SYSLog,日志的集中管理,1、SYSLog信息收集 SYSLog记录日志格式： X月X日 hh： mm： ss 主机名 标志： 日志内容 直接发送到日志服务器。 先发到中继站再转发到日志服务器； 可以经过多次中继站转发，还可以同时发送多个日志服务器。,日志的集中管理,2、日志服务器配置 步骤一：配置FreeBSD的SYSLog，允许接受其他服务器的log信息。在/etc/rc.conf中加入：syslogd_flags=“-4-a0/0：*” 步骤二：修改好syslogd参数，修改/etc/syslog.conf文件，指定log的存储路径。 步骤三：重启syslogd服务，让配置生效: /etc/rc.d/syslogd restart 。,日志的集中管理,3、记录UNIX类主机（客户端）的log信息 步骤一：修改/etc/syslog.conf文件。 步骤二：重启一下syelog服务： Linux：/etc/init.d/syslogd restart BSD: /etc/rc.d/syslogd restart 步骤三：用logger测试一下是否配置成功： Logger p authpriv.notice“ ”,日志的集中管理,4、记录Windows类主机（服务器）的log信息 日志格式，记录软件、方式不同。需要第三方软件将Windows日志转换成syslog日志再转发。 例如：evtsys（全称evntlog to syslog） 下载地址：/ 国内网址：/data/59082,步骤一：吧evtsye.dll和evtsys.exe拷贝到c:windowssystem32目录下 步骤二：选择【开始】 【运行】输入“cmd” 单击【确定】 步骤三：在命令行界面输入以下命令： C:evtsys-i-h 192.168.10,100 步骤四：启动evtsys服务，命令如下： C：net start evtsys 步骤五：开启需要审核的策略 步骤六：配置服务器FreeBSD的SYSLog，在/etc/syslog.conf中加入daemon.notice|/var/log/filter_log.sh,日志的集中管理,5、了解日志编程 （1）syslog编程 Openlog（）：1）标志字符串，默认为程序名称；2）选项，一些标志位的组合；3）类型。 Syslog（）：主要参数priority表示该条日志级别；分8级。 Closelog（）：关闭日志记录。,日志的集中管理,5、了解日志编程 （2）服务器编程 在linux下提供sysklogd的SYSLog服务器的实现，可以记录本机日志，接受和转发外部日志。 Sysklogd包括klogd和syslogd，klogd用于接收内核日志再发给syslogd，syslogd通过socket（AF_NUIX)直接接收应用程序和远程日志。 默认情况下，SYSLog通过UDP协议数据包向日志服务的514监听端口发送数据。,日志的集中管理,6、SYSLog应用 日志数据接收后，可以存入数据库中，在对数据库中的记录进行审计、分析和统计，生成图表的报表，有效预防事故或病毒等不利情况的扩展和蔓延。 SYSLog是UNIX、Windows系统中提供的一种日志记录方法，