日志服务器建设和应用_陈庭平

2010.9

65

日志服务器建设和应用

陈庭平 沈丽娟 曾鹏

63650部队科技信息中心 新疆 841700

摘要：设备日志及时、准确地记录网络运行、服务信息，是网络管理人员应该重点关注的信息源。日志服务器利用日志服务器软件，采集网络设备、安全设备、应用服务器等的日志信息，集中存储管理。这些日志信息可以在日常维护管理中人工查阅，也可以利用程序进行处理和准确分析，实现对网络的全面监管。

关键词：日志服务器；日志采集；日志分析

0 引言

日志是设备对于每天发生的事件的文件记录。服务器、网络设备、安全设备每天都在产生大量的日志，这些日志记录了设备的运行情况、用户对设备的访问操作和通过设备流转的数据的简要信息，根据这些日志能够监控网络运行，发现异常事件，还可以总结设备运行规律，进行优化设计。日志文件默认分布于大量设备自身的日志缓存或者日志文件中，信息比较庞杂，一个个设备查看日志有很大的盲目性，工作量也不是日常维护管理可以承担的，这就导致了通常日志文件仅仅存在一段时间后被新的日志所覆盖，从来没有得到有效的利用。要利用日志信息，就要对日志进行有效的管理，建立日志服务器能够胜任这一工作。

1 日志服务器 1.1 建立日志服务器

日志服务器是一套软硬件结合的系统，见图1。为了日志数据的安全，需要一台专门的服务器来承担，服务器的性能没有特殊要求，性能较高日志处理速度更快。日志服务器必须有足够的存储空间，空间大小根据需要记录日志的设备数量、设备类型、和要存储日志的时间长短来确定。在当前技术条件下，日志服务器的硬件要求比较容易满足，投入并不大。

日志服务器还需要软件系统来完成日志的传输和管理。

Linux 环境下的syslog 是比较有效的日志服务器软件，在Windows 下也有syslog 的兼容版本可以使用，比如kiwi syslog server ，该软件可以在其官方网站(https://www.wendangku.net/doc/707344506.html,)上免费下载使用，如果需要更多功能，可以注册该软件来获得。

日志服务器软件按照约定的传输类型收集从设备发送过来的日志信息，集中进行管理，这种传输类型在大多数网络设备上被支持，只需要简单设置。

图1 日志服务器的结构

1.2 日志服务器的重要作用

日志服务器实现了大量设备日志信息的集中存储管理，根据这些信息可以对网络状况、网络安全进行监管，通过分析日志可以掌握信息发布等服务的应用情况，方便改进服务质量。

1.2.1 网络运行情况监管

日常的维护管理中，可以根据实际情况定义一些检索关键词，根据检索结果就能实时监控网路情况。网络设备中的端口、接口、路由等如果出现异常，会导致网络断开，或者网络服务无法实现，同时产生日志信息。若这些信息分散于设备自身的缓存，那么一个节点的网络出现问题，你需要延全程路由对所有关联的设备进行排查；而日志信息集中存放，只要检索集中日志中的相关信息就可以找出故障点。

2010.9

66 1.2.2 网络安全防护

服务器是信息、数据主要保存地，也是网络攻击的主要目标，一旦攻击成功，成为超级用户以后，整个计算机系统完全在其掌握之中，正常情况下黑客在系统中所有的动作会被日志系统所记录。网络设备的日志能够记录登录该设备的用户信息和执行的所有命令，攻击者对网络设备的所有篡改都将被记录在案。为了隐藏自己的痕迹，大多数黑客会删除日志文件中自己操作的指纹，甚至删除所有的日志文件，这对于攻击者是轻而易举的。

把日志信息集中发送到日志服务器保存，攻击者要想篡改或删除日志，就要攻破日志服务器，而专门的日志服务器，只开专门的端口，只和内部设备交互，很难攻破；单独一个日志服务器，网络管理员也有精力长期从控制台监控，被攻击能及时发现。

通过查看日志文件中攻击者留下的痕迹，系统管理员可以发现黑客攻击的手段及特点，从而能够采取相关措施，为抵御下一次攻击做好准备；日志文件也是攻击活动最重要的证据，完好的保存有利于找出攻击者，给予惩治。

1.3 日志服务器安全

日志服务器要能达到预期的效果，必须保证要非常安全，以下几个方面就应注意：

使用一个单独的服务器，关闭多余的所有服务，禁止网络访问；服务器的用户严格控制，用户名和密码专人掌握，密码强度要足够，并强制过期更换；有条件的建议使用linux 系统。

保证UDP 514 口没有对外连接，这样可以保护你的

LOG 服务器不接受从外界来的不好的或者未认证的LOG 信息。

日志服务器安装在内部服务器群中，受到边界防火墙和服务防火墙的保护，定制严格的访问策略，充分利用防火墙的功能对接受日志的服务器进行保护。

对安全要求更高的可以设定密钥，为每次传输的日志记录生成一个有动态特性的鉴别码，然后采用加密技术对日志内容进行加密，最后把加密的信息传输到日志服务器保存。

2 日志采集

理想的日志服务器要采集网络中全部设备的日志信息，至少也要包括网络设备、安全设备和应用服务器。对于不同的设备，日志采集方法不太一样，同类设备不同型号只有一

些具体命令上的差异。下面阐述几种重要设备的日志采集方法。

2.1 交换机日志的采集

交换机的型号很多，基本都提供了日志处理程序。交换机的信息分为三类：日志信息、调试信息和告警信息。按信息的严重等级或紧急程度，交换机把每类信息划分为八个等级，见表1。严重性越高的信息，其严重等级数值越小，

emergencies 表示的等级数值为1，debugging 为8。在按等级进行信息过滤时，采用的规则是：禁止严重等级数值大于所设置阈值的信息输出。因此，当设置严重等级阈值为

debugging 时，所有的信息都会输出。

交换机支持信息向6个方向进行输出，见表2，系统对每个输出方向缺省分配一个信息通道。

表1 交换机日志信息的严重等级

严重等级

数值

描述 emergencies 1

系统不可用

alerts 2

需要立即做出反应的信息 critical 3 严重信息 errors 4 错误信息 warnings 5 警告信息 Notifications 6

正常出现但是重要的信息 informational 7

需要记录的通知信息 debugging 8

调试过程产生的信息

表2 输出信息的信息通道号和通道名

输出方向 信息通道号

缺省的信息通道名

控制台 0 console 监视终端 1 monitor 日志主机 2 loghost 告警缓冲区 3 trapbuffer 日志缓冲区

4 logbuffer

snmp 5 snmpagent

交换机的日志信息还包含产生该条日志信息的模块信息，缺省设置一般是default ，表示所有模块，具体的模块信息可以参考交换机的手册。

配置日志发送命令很简单，以Cisco 交换机为例，在全局配置模式下执行如下命令：

Logging trap debugging Logging 1.2.3.4

第一条命令设置日志信息级别为debugging ，即数值8，后面一条是把日志信息输出到日志服务器上，“1.2.3.4”是日志服务器的IP 地址。

对于H3C 交换机，日志输出利用信息中心系统实现。在全局配置模式下，逐条执行以下命令：

Info-center enable Info-center loghost 1.2.3.4

Info-center source default channel loghost

2010.9

67

第一条命令开启信息中心系统，第二条设置日志服务器地址为1.2.3.4，第三条命令设置信息源为default ，表示所有模块，通道为2号日志主机。

2.2 防火墙日志的采集

防火墙日志采集方法和交换机非常类似，防火墙系统提供了发送日志到日志服务器的设置，如图2示。

图2 防火墙的日志发送设置

2.3 网站服务器日志的采集

网站服务器很多是用Windows server 2000/2003系统建立，系统日志文件包括：应用程序日志、安全日志、系统日志， 以及FTP 连接日志和HTTPD 日志等。日志保存的默认的位置如下：

安全日志文件：%systemroot%\system32\config\SecEvent.

EVT

系统日志文件：%systemroot%\system32\config\SysEvent.

EVT

应用程序日志文件：% systemroot% \system32\config\

AppEvent. EVT

FTP 连接日志和HTTPD 事务日志：% systemroot%\ system32\LogFiles\下面还有子文件夹，分别对应该FTP 和Web 服务的日志，其对应的后缀名为.Log 。

evtsys 是一个把服务器的.evt 日志转换成syslog 日志，并发送给日志服务器的软件。下载该软件，把文件都复制到系统盘的“windows\system32\”目录下，然后在命令行下执行以下代码：

cd c:\windows\system32\ evtsys.exe –i –h x.x.x.x –f local7 net start evtsys

其中-i 参数表示安装，x.x.x.x 是日志服务器的IP 地址，

-f 参数设定发送日志的模块，分为24个层次，小于设定值的模块的日志都将发送，上例中我选的是local7，所以所有日志都会发送到日志服务器。

3 日志服务器应用

集中存储到日志服务器的日志数据，既可以在日常维护管理中人工查阅，也可以对其进行挖掘分析，开发程序进行处理，应用于网络的自动化管理。

3.1 日常维护管理使用

查看日志服务器上的综合日志信息，全面监控网络运行情况，及时发现可能发生的安全事件，做出响应。只在重大事件之后才审查日志，只能获得事后分析的好处，而不能获得事前预防的好处；主动查看日志有助于用户更好地实现安全设施的价值，了解攻击行为将在何时发生并及时采取措施。

面对海量的日志信息，首先需要根据事件的影响程度和网管人员的关心程度，区分日志的先后次序，对信息进行首

次筛选；然后对不同设备的日志信息进行全面关联分析，得到综合的结果。查阅过程中，不能先入为主的只对已定义的不良信息进行研究，而忽略未定义的信息，往往这些新的蛛丝马迹中可以发现新的攻击、新的异常，提高发现潜在攻击行为的几率。

3.2 日志数据分析

即使在日常查阅中使采取上述的一些策略，人工分析日志信息的效率仍很低，并且不能完全发挥日志的作用。借助数据库存储日志数据，进行统计分析，能够更高效的处理信息，提高网络管理的自动化程度。

3.2.1 日志数据处理

根据图3所示的几条kiwi syslog 服务器软件收集的日志信息，可以看出每条记录都是一个5元组：

Log = {Date,Time, Hostname, Priority, Message } 其中Date 、Time 、Hostname 、Priority 表示的信息很明确，分别是日期、时间、主机名或IP 地址以及产生日志的模块名，Message 信息集中表示了该条日志的主要内容，主要包括来源、目的、动作、完成状态等信息，这些信息可以使用正则表达式从日志记录中筛选出来，存储在数据库中，用于后续的分析。

图3 kiwi syslog 日志信息实例

2010.9

68 3.2.2 日志数据分析

经过预处理的日志数据，表现为数据库中的时间序列数据，可以很方便的进行统计分析，也能方便的检索出孤立点，分析异常事件。

统计分析：根据一定的时间段进行统计，能够很好的反映数据延时间变化的规律，总结出网络设备负载、网络流量的时间分布；可以看到网络信息利用的人员分布，资源利用率高低分布；可以反映网络攻击的时间、来源分布，网络攻击目标的集中方向。根据这些统计信息，可以有效的整改网络，预防攻击；平衡网络流量，充分利用网络带宽；可以优化信息资源配置，多建设广泛应用的有效信息资源。

异常事件分析：异常事件应是log 数据中的孤立点，可以很方便的监测出来，达到快速从大量正常记录中找出异常事件记录的目的。对多个异常事件点进行联合对比，可以总

结规律，预测异常事件的发生。

4 结束语

本文分析了日志服务器的建设方法，安全防护手段，数据采集方法和日志数据的分析应用，旨在提醒网络管理人员对日志数据的重视，提供一种日志数据集中存储管理并加以利用的思路。

参考文献

[1]建立基于Windows 平台的日志服务器.微电脑世界.2009. [2]张英鹏.浅析网站服务器日志文件的保护.现代农业.2009. [3]H3C 交换机电子手册.2009.

[4]王小奎.防火墙日志系统的分析和研究.2009.

[5]吴军华,郑玉.一种邮件服务器日志数据分析方法.南京工业大学学报.2003.

Construction and Application of Log Server Chen Tingping,Shen Lijuan,Zeng Peng

Sci-tech Information Center in 63650 army,Urumchi,841700,China

Abstract:Equipment log,which timely and accurate records network operation and server information,must been highlight concerned about in network administrators . Log server use log server software, gather logs of network equipment,safety equipment and application server, store and manage logs in an concentrate server. Using this logs,such as manual check or automatic analysis ,wo can take charge of network roundly. Keywords:Log Server; gather logs; automatic analysis

[上接64页]

Texture generation method based on a variety of graphics Li Yanwei

Inner Mongolia kunming cigarette limited liability company,Inner Mongolia,010020,China

Abstract:In the computer simulation and virtual reality, how to construct a highly realistic visual and dynamic characteristics of the object being studied to simulate real-world performance and role,has been one of the important issues.Texture synthesis,it is a true reproduction of surface effects and the important properties of one of the means of great practical value.Texture synthesis is limited in the sample image and the known circumstances, with similar texture generation and the new image can not be a copy of the original sample. Keywords:Computer Simulation;Texture Generation

最新天融信日志服务器配置说明书.pdf

天融信日志服务器配置说明书 （Topsec_Auditor_Server_2.0专用版） VER: 2.0 杭州市工商行政管理局网络安全二期项目工程文档 --------日志服务器配置说明书 北京天融信网络安全技术有限公司杭州分公司 2004年12月 天融信安全技术高品质的保证

文档管理 文档信息 文档名称杭州市工商局网络安全二期项目工程文档保密级别内部文档文档版本编号V1.0 制作人杭州天融信公司制作日期2004-12-04 复审人复审日期 适用范围本文档为杭州市工商局网络安全实施文档，提交给杭州市工商局网络安全项目组相关人员审阅、备案。 分发控制 编号读者文档权限与文档的主要关系 1 杭州天融信项目组创建、修改、读取文档制作者 2 杭州市工商局审阅直接客户 3 杭州市万事达公司审阅网络安全项目集成商 版本控制 时间版本说明修改人2004-12-04 V0.9 文档创建王余 2004-12-06 V1.0 文档修订王余

目录 3安装数据库服务器........................................................................................................ 6安装并配置审计服务器................................................................................................ 11安装并配置审计管理器.............................................................................................. 17配置防火墙日志权限..................................................................................................

华为9312交换机log信息下载操作指引

华为9312交换机log信息下载操作指引 通过display logbuffer命令可以查询到华为9312交换机上的log信息，但是由于logbuffer 的大小有限，往往只能看到很短时间内的日志信息，历史的log信息就无法通过该命令进行查看；需要查询历史log信息，需要通过FTP方式登陆9312交换机，下载历史log信息，具体操作步骤如下 1、开启9312交换机的FTP访问权限，在全局模式下输入命令： [GDGZ-MA-IPMAN-FC-SW01-S9312]ftp server enable 2、登陆账号FTP访问权限放通。在service-type中增加ftp，另外需要配置ftp-directory，没有配置ftp-directory，则无法成功FTP登陆 [GDGZ-MA-IPMAN-FC-SW01-S9312-aaa] local-user hjy139******** service-type ftp telnet [GDGZ-MA-IPMAN-FC-SW01-S9312-aaa]local-user hjy139******** ftp-directory cfcard:/ 3、在全局模式下查看9312交换机的历史log文件，历史log文件存放位置在cfcard:/ logfile dir Directory of cfcard:/ Idx Attr Size(Byte) Date Time FileName 0 drw- - Jan 28 2011 08:00:56 logfile 1 -rw- 198 Jan 05 2011 17:14:40 $_patchstate_a 2 -rw- 4 Jan 28 2011 13:40:20 snmpnotilog.txt 3 -rw- 8,882 Jan 15 2011 10:04:30 private-data.txt 4 -rw- 6,693 Jan 28 2011 14:25:16 vrpcfg.zip 5 -rw- 1,730,668 Jan 05 2011 16:20:5 6 s9300v100r001sph017.pat 6 -rw- 22,313,196 Dec 05 2009 13:44:16 https://www.wendangku.net/doc/707344506.html, 7 -rw- 140,708 Jan 05 2011 17:14:40 patchhistory 8 -rw- 0 Dec 17 2009 08:36:46 stickymac.txt 9 -rw- 1,217,429 Mar 09 2010 15:36:22 s9300v100r001sph012.pat 500,192 KB total (415,904 KB free) cd logfile dir Directory of cfcard:/logfile/ Idx Attr Size(Byte) Date Time FileName 0 -rw- 7,150,374 Jan 28 2011 14:17:00 log.txt 1 -rw- 204,765 Jan 14 2011 18:18:58 2011-01-14.18-18-52.diag.zip 2 -rw- 237,550 Jan 14 2011 17:59:48 2011-01-14.17-59-41.diag.zip 3 -rw- 5,512,736 Jan 28 2011 13:45:5 4 diag.txt 4 -rw- 251,281 Jan 0 5 2011 21:30:12 2011-01-05.21-30-08.log.zip 5 -rw- 264,187 Jan 14 2011 18:01:14 2011-01-14.18-01-09.log.zip 6 -rw- 230,136 Jan 14 2011 18:21:34 2011-01-14.18-21-29.log.zip

天融信日志服务器配置说明书修订稿

天融信日志服务器配置 说明书 WEIHUA system office room 【WEIHUA 16H-WEIHUA WEIHUA8Q8-

天融信日志服务器配置说明书 （专用版） VER: 杭州市工商行政管理局网络安全二期项目工程文档 --------日志服务器配置说明书 北京天融信网络安全技术有限公司杭州分公司 2004年12月 天融信安全技术高品质的保证 文档管理 文档信息 文档名称杭州市工商局网络安全二期项目工程文档

分发控制 版本控制

目录

安装数据库服务器 系统要求： 操作系统：中英文windows 2000/2003 服务器版 数据库系统：MS SQL Server 2000 + Service Pack 3 ( 不支持 MS SQL Server ) 最低配置：CPU ：PIII 内存：256M 硬盘：10G 推荐配置：CPU：P4 内存：512M 硬盘 80G 安装步骤： 1. 插入SQL Server 2000 安装光盘： 2. 选择<安装SQL Server 2000 组件>，开始安装数据库服务器，依照安装向导的提示，安装数据库服务器和客户端工具。 3. 在安装类型页面，用自定义方式，选择程序文件和数据文件的安装目的文件夹：

【注意】选择自定义也方便了加速查询的排序次序的设置，强烈建议修改默认的排序方式为二进制。另外，数据文件所在文件夹分区必须是NTFS 格式，如果是FAT32 格式的分区，文件的限制为4G，当超过4G 时，文件无法继续增长。同时建议不要安装SQL数据文件与程序文件在系统盘，可单独安装数据文件到大的磁盘与系统盘分开。 4. 下一步，选择身份验证模式为<混合模式>，输入sa 登录密码，请管理员务必牢记： 5. 在接下来的排序规则设置页面，本系统推荐“二进制”排序，这样可以提高查询速度： 6. 设置工作完成后，安装程序开始复制文件。 7. SQL Server 安装完成。

IBM服务器日志搜集方法

IBM X-Server日志收集方法 -------------------------------Memory Minidump--------------------------------- Minidump调试方法： 1. 到https://www.wendangku.net/doc/707344506.html,/whdc/devtools/debugging/default.mspx下载dbg_x86_6.9.3.113.msi 2. 建立临时目录c:\temp 3. 启动windbg，打开file->symbol file path (ctrl+s)，输入 SRV*c:\temp*https://www.wendangku.net/doc/707344506.html,/download/symbols，确定 4. 打开file->open crash dump (ctrl+d)，打开%systemroot%\Minidump目录下dmp后缀的文件 5. 在左下角状态提示“kd>”后，输入“!analyze -v”，回车，下面会出现分析结果 -------------------------------BMC日志 --------------------------------- 收集BMC日志需要您准备一台笔记本和一根交叉网线连接到服务器的网络1口。 一、BMC收集 1. 到IBM网站 (https://www.wendangku.net/doc/707344506.html,/systems/support/supportsite.wss/docdisplay?ln docid=MIGR-64636&brandind=5000008)下载一个压缩包 osa_utl_smbr_2.0.24.1_anyos_noarch.zip，下载好之后解压，将windows下的SMBridge安装程序拷贝到笔记本中。 2. 在服务器BIOS中设置BMC的IP地址。重启服务器，按F1进BIOS，依次选择Advanced Setup-> Baseboard Management Controller (BMC) Settings -> BMC Network Configuration，将IP地址获取方式改为静态，IP地址为10.1.1.97；子网掩码是255.255.255.0。设置完之后要选择下面的选项保存信息。 3. 设置笔记本的IP地址为10.1.1.100（建议）子网掩码为255.255.255.0。 4. 在笔记本上安装SMBridge Utility，安默认设置进行安装，程序将会被安装到C:\Program Files\SMBridge的目录下。 5. 在MS-DOS的方式下：进入到C:\Program Files\SMBridge的目录，输入命令： smbridge -ip 10.1.1.97 -u USERID -p PASSW0RD sel get > C:\bmc_log.txt

System X服务器日志收集的方法

System X服务器日志收集的方法 一、通过SVCCON收集BMC日志 1、下载SVCCON工具ibm_utl_svccon_112_windows_anycpu.exe https://www.wendangku.net/doc/707344506.html,/jct01004c/systems/support/supportsite.wss/ docdisplay?brandind=5000008&lndocid=MIGR-63877 2、设置服务器BMC的IP地址和终端（有网卡和windows操作系统的机器都 可以）的IP地址 A、BMC 管理端口共享的是服务器主板上面的第一个网络口（NIC Port 1）， 缺省的模式是enable的，默认IP是10.1.1.97；子网掩码是255.255.255.0。 网络设置可以通过下面的方法去核实或设置：在F1 Setup under Advanced Setup-> Baseboard Management Controller (BMC) Settings -> BMC Network Configuration (see below): （IP地址也可以根据USER的实际情况进行更改，这里没有做强制要求） B、设置终端的IP地址为10.1.1.100（建议）子网掩码为255.255.255.0(see below) 3、使用SVCCON工具收集BMC日志 A、直接运行下载程序ibm_utl_svccon_112_windows_anycpu.exe，会弹 出一个窗口(see below)，10.1.1.97是默认的IP，也可以更改成USER 自定义的IP。 B、然后点击Logon，登陆成功后，最下面的信息栏中显示的是Connecting 状态(see below) 。 C、点击Dump SEL键，会弹出一个对话框，在对话框中键入需要保存信 息的文件名，【建议使用服务器的型号序列号命名(see below)】，选 择保存。 D、日志保存完后状态恢复到Connecting状态(see below) ，点击 Disconnect键，断开连接，关闭SVCCON的窗口。 E、将日志文件发给IBM工程师。 二、通过 SMBridge 工具收集日志 1、下载SMBridge工具osa_utl_smbr_2.0.17.1_anyos_anycpu.zip https://www.wendangku.net/doc/707344506.html,/jct01004c/systems/support/supportsite.wss/ docdisplay?lndocid=MIGR-64636&brandind=5000008 2、设置服务器BMC的IP地址和终端（有网卡和windows操作系统的机器 都可以）的IP地址 A、BMC 管理端口共享的是服务器主板上面的第一个网络口（NIC Port 1）， 缺省的模式是enable的，默认IP是10.1.1.97；子网掩码是255.255.255.0。 网络设置可以通过下面的方法去核实或设置：在F1 Setup under Advanced Setup-> Baseboard Management Controller (BMC) Settings -> BMC Network Configuration (see below): （IP地址也可以根据USER的实际情况进行更改，这里没有做强制要求）

华为交换机基本配置命令

华为交换机基本配置命令 一、单交换机VLAN划分 命令命令解释 system 进入系统视图 system-view 进入系统视图 quit 退到系统视图 undo vlan 20 删除vlan 20 sysname 交换机命名 disp vlan 显示vlan vlan 20 创建vlan(也可进入vlan 20) port e1/0/1toe1/0/5 把端口1-5放入VLAN 20 中 5700系列 单个端口放入VLAN [Huawei]intg0/0/1 [Huawei]port link-typeaccess（注：接口类型access，hybrid、trunk） [Huawei]port default vlan 10 批量端口放入VLAN [Huawei]port-group 1 [Huawei-port-group-1]group-member ethernet G0/0/1 to ethernet G0/0/20 [Huawei-port-group-1]port hybrid untagged vlan 3 删除group（组）vlan 200内的15端口 [Huawei]intg0/0/15 [Huawei-GigabitEthernet0/0/15]undo port hybrid untagged vlan 200 通过group端口限速设置 [Huawei]Port-group 2 [Huawei]group-member g0/0/2 to g0/0/23 [Huawei]qos lr outbound cir 2000 cbs 20000 disp vlan 20 显示vlan里的端口20 int e1/0/24 进入端口24 undo port e1/0/10 表示删除当前VLAN端口10 disp curr 显示当前配置 return 返回 Save 保存 info-center source DS channel 0 log state off trap state off通过关闭日志信息命令改变 DS模块来实现（关闭配置后的确认信息显示） info-center source DS channel 0 log state on trap state on 通过打开日志信息命令改变DS模块来实现（打开配置后的确认信息显示）

部署日志服务器

部署日志服务器 关键字: java 在使用华城瑞安网络安全产品，比如AppRock，NetRock的方案中，需要对设备的日志进行保存和记录。日志可以帮助我们分析设备是否正常，网络是否健康，所以任何设备或系统都应该建立完整的日志系统，这样我们就可以面对任何问题并及时解决问题了。本文将为大家介绍如何给华城瑞安网络安全产品建立日志服务器，通过日志服务器我们就可以掌握数据通过防火墙等安全设备的基本情况，以及各种攻击信息。遇到突发事件可以通过分析日志来快速解决问题。 华城瑞安网络安全产品硬件内部也集成了syslog日志循环记录功能，但是对于需要保存所有日志信息的环境，需要建立外部独立的日志服务器对日志进行保存，以供更加详细的分析。很多情况下都是使用Linux或者Unix日志服务器，但是对于管理员的要求过高，这里我们将建立一个windows平台下的日志服务器。 网络安全产品的一些重要信息可以通过SYSLOG机制在内部网络的日志服务器上记录日志。这些重要信息包括链路建立失败信息，防火墙操作信息和包过滤信息等日志信息。所以只要在日志服务器上启用SYSLOG接收服务，再在防火墙上指定日志服务器的IP地址为日志服务器即可。配置起来不是很烦琐，而监视起来效果明显。 我们使用的日志服务器软件是“Syslog for windows”，点击这里可以下载。该软件可以在任何windows系统上安装运行。 下载后直接点击安装，就行了。安装完成以后，在windows上打开一个命令行窗口，进入安装目录，执行“ C:\syslog>syslogd.exe –i ” 安装syslog到系统服务中（使每次系统重启以后能够自动运行syslog服务）。到这里，日志服务器就安装完成了，使用安装后的默认配置就OK了。 接下来配置华城瑞安的设备（防火墙，VPN，应用防火墙上的配置都是一致的）。 在华城瑞安网络设备的WebUI管理界面中，选择“日志管理”－》“日志选项”菜单，打开如下的设置页面： 勾选“允许系统日志发送到远程日志服务器”，配置日志服务器的IP地址，然后选择需要记录的日志类型，最后点击“保存”就可以生效了。 在Windows日志服务器上，日志软件的安装目录中的 log\messages 文件保存了设备发送来的日志信息。下面是文件中的日志信息例子： Sep 30 02:17:48 192.168.1.1 ipmon[98]: 02:17:47.785042 ng0 @0:27 b 60.190.129.2,52047 -> 61.51.127.67,31792 PR udp len 20 113 IN

服务器日志监控

点击文章中飘蓝词可直接进入官网查看 服务器日志监控 服务器日志监控是用来分析和审计日志的系统管理软件，服务器日志监控能够对主机、服 务器、网络设备、数据库以及各种应用服务系统等产生的日志，进行收集和细致分析，通过统 一的控制台进行实时可视化的呈现。服务器日志监控帮助IT管理员从海量日志数据中准确查找关键有用的事件数据，准确定位网络故障并提前识别安全威胁，从而降低系统宕机时间、提升 网络性能、保障企业网络安全。如何选择服务器日志监控系统？ 无论是大型还是小型企业，监控内部网络活动已成为其主要要求。要保护网络安全以防范 泄露和威胁，各企业需要采取积极的措施来保证其网络和数据的安全性。监控事件日志用准确 的方式来检测网络异常、数据泄露尝试及跟踪网络入侵者。 审计数据采集是整个系统的基础，为系统审计提供数据源和状态监测数据。对于用户而言，采集日志面临的挑战就是：审计数据源分散、日志类型多样、日志量大。为此，系统综合采用 多种技术手段，充分适应用户实际网络环境的运行情况，采集用户网络中分散在各个位置的各 种厂商、各种类型的海量日志。 分析引擎对采集的原始数据按照不同的维度进行数据的分类，同时按照安全策略和行为规 则对数据进行分析。系统为用户在进行安全日志及事件的实时分析和历史分析的时候提供了一 种全新的分析体验——基于策略的安全事件分析过程。用户可以通过丰富的事件分析策略对安全事件进行多视角、大跨度、细粒度的实时监测、统计分析、查询、调查、追溯、地图定位、 可视化分析展示等。 管理平台是安全审计的Web管理平台，包含了安全审计平台的管理功能和信息发布管理功能。提供了强大的日志综合审计功能，为不用层级的用户提供了多视角、多层次的审计视图。 系统提供全局监视仪表板、实时审计视图、内置或自定义策略的统计视图、日志查询和报表管 理功能，支持日志的模糊查询和自定义报表。 南京风城云码软件技术有限公司是获得国家工信部认定的“双软”企业，具有专业的软件 开发与生产资质。多年来专业从事IT运维监控产品及大数据平台下网络安全审计产品研发。开

Eudemn防火墙日志服务器配置指导

Quidway Eudemon 防火墙日志服务器配置指导 华为技术有限公司 Huawei Technologies Co., Ltd.

修订记录

目录CATALOG 1.1 几点说明 (4) 1.2 验证组网 (5) 1.3 Eudemon 200参考配置 (5) 1.3.1 Syslog配置： (5) 1.3.2 Binary配置： (6) 1.4 Eudemon 1000参考配置 (7) 1.4.1 Syslog配置： (7) 1.4.2 Binary配置： (7)

防火墙日志服务器配置说明 通过Eudemon日志服务器可以收集Eudeon防火墙的日志信息，方便日志查询、分析、告警；这里对Eudemon防火墙的相关配置做一简要说明。对Eudemon日志服务器安装操作说明请参考相关文档。 1.1 几点说明 1．Eudemon防火墙目前支持两种日志格式Syslog、Binary； 2．Syslog(UDP：514)日志为文本日志，如在防火墙上执行的各种命令操作记录； 3．Binary(UDP：9002)流日志是在防火墙上建立会话表项的日志,其又分为Binary NAT Log和Binary ASPF Log；其中Binary NAT Log指会话表项进行 地址转换的流日志；而Binary ASPF Log指会话表项没有进行地址转换的流 日志； 4．Binary日志在防火墙会话表项老化之后会生成： E200：在session完全老化(display firewall session table verbose 查看不到)或清空会话表时会触发流日志； E1000：在session老化(display firewall session table查看不到) 后会触发流日志； 5．对于哪些会话表项能够产生Binary日志，E200与E1000有所不同： E200: 对TCP(处于ready状态,State：0x53的会话)、UDP会话会产生 Binary日志； E1000: 对TCP(处于ready状态的会话)、UDP、ICMP会话会产生Binary 日志； 6．两种日志Syslog/Binary的记录时间取防火墙系统的当前时间； 7．由于Syslog日志数量相对Binary要少，建立会话对系统影响较小，而且Syslog日志是由cpu发的，与cpu发的其他报文处理流程一样，所以Syslog 会在E200/E1000防火墙上都会建立session； 8．Binary日志流量大，数量多，建立session可能对系统有所影响；E1000其Binary日志由NP直接发送，E200则由CPU发送；目前E200对Binary会在防火 墙上建立session；E1000对Binary在防火墙上没有建立session； 9．目前E200与E1000对于Syslog日志的配置命令完全相同；而对于Binary日志的配置命令则有所区别；

阿里云搭建SVN服务器安装日志

Welcome to aliyun Elastic Compute Service! Last login: Wed Jan 21 20:45:49 2015 from 123.169.2.1 root@iZ9999t0o8xZ:~# apt-get install subversion Reading package lists... Done Building dependency tree Reading state information... Done The following extra packages will be installed: libapr1 libaprutil1 libdb4.8 libneon27-gnutls libsvn1 Suggested packages: subversion-tools db4.8-util The following NEW packages will be installed: libapr1 libaprutil1 libdb4.8 libneon27-gnutls libsvn1 subversion 0 upgraded, 6 newly installed, 0 to remove and 125 not upgraded. Need to get 2,037 kB of archives. After this operation, 5,659 kB of additional disk space will be used. Do you want to continue [Y/n]? Do you want to continue [Y/n]? Y Get:1 https://www.wendangku.net/doc/707344506.html,/ubuntu/ precise/main libdb4.8 amd64 4.8.30-11ubuntu1 [679 kB] Get:2 https://www.wendangku.net/doc/707344506.html,/ubuntu/ precise/main libapr1 amd64 1.4.6-1 [89.6 kB] Get:3 https://www.wendangku.net/doc/707344506.html,/ubuntu/ precise/main libaprutil1 amd64 1.3.12+dfsg-3 [74.6 kB] Get:4 https://www.wendangku.net/doc/707344506.html,/ubuntu/ precise-updates/main libneon27-gnutls amd64 0.29.6-1ubuntu1 [76.4 kB] Err https://www.wendangku.net/doc/707344506.html,/ubuntu/ precise-updates/main libsvn1 amd64 1.6.17dfsg-3ubuntu3.3 404 Not Found [IP: 112.124.140.210 80] Err https://www.wendangku.net/doc/707344506.html,/ubuntu/ precise-updates/main subversion amd64 1.6.17dfsg-3ubuntu3.3 404 Not Found [IP: 112.124.140.210 80] Fetched 920 kB in 0s (2,128 kB/s) Failed to fetch https://www.wendangku.net/doc/707344506.html,/ubuntu/pool/main/s/subversion/libsvn1_1.6.17dfsg-3ubuntu3.3_a md64.deb 404 Not Found [IP: 112.124.140.210 80] Failed to fetch https://www.wendangku.net/doc/707344506.html,/ubuntu/pool/main/s/subversion/subversion_1.6.17dfsg-3ubuntu3. 3_amd64.deb 404 Not Found [IP: 112.124.140.210 80] E: Unable to fetch some archives, maybe run apt-get update or try with --fix-missing? root@iZ9999t0o8xZ:~# apt-get update (或者--fix-missing 命令) Ign https://www.wendangku.net/doc/707344506.html, precise InRelease Ign https://www.wendangku.net/doc/707344506.html, precise-security InRelease Ign https://www.wendangku.net/doc/707344506.html, precise-updates InRelease

华为路由器配置命令大全

基本命令en 进入特权模式 conf 进入全局配置模式 in s0 进入 serial 0 端口配置 ip add xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx 添加ip 地址和掩码，电信分配 enca hdlc/ppp 捆绑链路协议 hdlc 或者ip unn e0 exit 回到全局配置模式 in e0 进入以太接口配置 ip add xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx 添加ip 地址和掩码，电信分配 exit 回到全局配置模式 ip route 0.0.0.0 0.0.0.0 s 0 添加路由表 ena passWord 口令 write exit 以上根据中国电信 ddn 专线多数情况应用 普通用户模式 enable 转入特权用户模式 exit 退出配置 help 系统帮助简述 language 语言模式切换 ping 检查网络主机连接及主机是否可达 show 显示系统运行信息 telnet 远程登录功能 tracert 跟踪到目的地经过了哪些路由器特权用户模式 https://www.wendangku.net/doc/707344506.html, 推出各大专业服务器评测 Linux服务器的安全性能 SUN服务器 HP服务器 DELL服务器 IBM服务器联想服务器浪潮服务器曙光服务器同方服务器华硕服务器宝德服务器# clear 清除各项统计信息

clock 管理系统时钟 configure 进入全局配置模式 debug 开启调试开关 disable 返回普通用户模式 download 下载新版本软件和配置文件 erase 擦除FLASH中的配置 exec-timeout 打开EXEC超时退出开关 exit 退出配置 first-config 设置或清除初次配置标志 help 系统帮助简述 language 语言模式切换 monitor 打开用户屏幕调试信息输出开关 no 关闭调试开关 ping 检查网络主机连接及主机是否可达 reboot 路由器重启 setup 配置路由器参数 show 显示系统运行信息 telnet 远程登录功能 tracert 跟踪到目的地经过了哪些路由器 unmonitor 关闭用户屏幕调试信息输出开关 write 将当前配置参数保存至FLASH MEM中 全局配置模式aaa-enable 使能配置AAA(认证，授权和计费) Access-list 配置标准访问表

如何收集服务器各类日志

目录 DSA 工具下载链接： (2) Linux操作系统下收集DSA日志步骤： (2) Windows操作系统下收集DSA日志步骤： (2) IMM日志收集步骤： (3) IMM2日志收集步骤： (6) 刀片服务器的AMM日志收集步骤： (11) Flex刀箱的CMM日志收集步骤： (11) OS和应用日志收集步骤： (11)

DSA 工具下载链接： DSA 工具下载链接 https://www.wendangku.net/doc/707344506.html,/support/entry/portal/docdisplay?lndocid=SERV-DSA DSA Installation and User's Guides： https://www.wendangku.net/doc/707344506.html,/support/entry/portal/docdisplay?lndocid=MIGR-5084901 Linux操作系统下收集DSA日志步骤 ： 日志步骤： 1.把下载的“.bin”的文件拷贝到服务器本地。cp /tmp 2.chmod +x 3.cd /tmp 4./ 5.收集完成后，在根目录下的 VAR/LOG 下会生成一个IBM SUPPORT 的文件夹，其中有以机器 型号序列号及日期命名的日志压缩包，这个就是DSA日志。 日志步骤： ： Windows操作系统下收集DSA日志步骤 1.把下载的 DSA 工具拷贝到C 盘根目录 2.双击运行，此时会出现一个 DOS 窗口，等待10 分钟左右，会完成收集工作 3.提示按任意键，DOS 窗口自动关闭。 4.在 C 盘根目录下会生成一个名为IBM SUPPORT 的文件夹，其中有以机器型号序列号及日期命 名的日志压缩包，这个就是DSA日志。

IMM日志收集方法

IMM日志收集方法 1.通过服务器板载Systems-management Ethernet connector收集日志.方法是使用直连线(此网口可自适应连接方式)将此网口连接于一台终端机(笔记本或台式机).默认IP为19 2.168.70.125查看此网口的IP地址是否是192.168.70.125,可进入服务器BIOS选项查看,如IP不是 192.168.70.125.可将其更改.具体信息如下: 开机按F1进入BIOS选项菜单, 选择“System Settings”进入该菜单设置 进入“System Settings”菜单选项后选择“Integrated Management Module”菜单 进入“Integrated Management Module”菜单,选择“Network Configuration”菜单

进入“Network Configuration”查看IP是否是192.168.70.125,如否.将其更改为此IP并选择“Save Network Settings”将设置保存. 2.将终端机的网卡IP设置为与“192.168.70.125”处于同网段的IP，然后在终端机的IE浏览器中输入IP“192.168.70.125”，此时会出现以下界面: 在User Name处输入帐号: USERID,Password处输入密码: PASSW0RD.完成后会出现欢迎界面. （请注意“USERID”和“PASSW0RD”照搬就可以了，这个和系统用户名密码不一样，是所有同型

号机器的默认设置，并且“PASSW0RD”里面的“0”不是英文的“O”，而是数字的“0”） 选择“Continue”进入以下界面.将“Monitors”下的所有选项保存 (System Status/Virtual Light Path/Event Log/Vital Product Data). System Status，Virtual Light Path 及Vital Product Data直接将各选项中的内容复制在Word文档中 Event Log 进入此页面右下角选择”Save Log as Text File”

华为云-云日志服务

云日志服务 云日志服务（Log Tank Service，简称LTS）可以提供日志收集、分析、存储等服务。用户可以通过云日志服务快速高效地进行设备运维管理、用户业务趋势分析、安全监控审计等操作。 日志 日志（Log）是用于记录操作事件的文件集合，具有查询历史数据、诊断问题以及对系统进行追踪等作用。 日志组 日志组是日志管理的基本单位，用户采集日志、查询日志、转储日志时，需要先创建日志组。 日志主题 日志主题是日志组的基本单位，方便用户将不同类型的日志分类存储。 日志源 日志源是用户的日志来源。用户在使用云日志服务的Agent收集日志时，需要在Agent中指定日志采集的路径。 日志采集 日志采集Agent（Telescope）是运行在需要收集日志的服务器上执行日志收集工作的Agent。针对不同系统，安装Linux版Telescope操作系统。 日志过期时间 日志数据默认存储7天，超出存储时间的日志将会被自动删除。若要长期存储日志，可将日志数据转储至OBS桶中。 应用场景 云日志服务能够帮助用户轻松采集各类云服务、服务器、网络设备等日志数据。面对海量日志也能快速查找符合特定条件的数据，帮助用户快速定位问题，并能实现长期存储，从而避免日志丢失，发挥日志更大价值。 与其他云服务的关系

对接统一身份认证服务 统一身份认证服务（Identity and Access Management，简称IAM）为云日志服务提供了权限管理功能。 使用云日志服务时需要LTS Administrator权限，如需开通该权限，请联系拥有Security Administrator权限的用户或者申请新的具有LTS Administrator权限的用户，详细内容请参考《统一身份认证服务用户指南》，获取方法请直接访问：统一身份认证服务。 如何访问 请使用管理控制台方式访问日志服务。如果用户已注册华为云，可直接登录管理控制台，选择“服务列表> 管理与部署> 云日志服务”，使用云日志服务。 如何使用 云日志服务的使用流程如图1所示： 图1 云日志服务使用流程 使用流程 用户使用云日志服务进行日志使用、分析的典型使用流程如图1所示：

搭建集中管理日志服务器技术及应用_王春璞

2011年11月（上） ［摘要］本文论述了搭建集中管理日志服务器的技术及配置，并分析了在H3C 交换机上的应用。 ［关键词］日志服务器；交换机；安全搭建集中管理日志服务器技术及应用 王春璞 卢宁 （河北省电力研究院，河北石家庄 050021） 随着信息网络的互联，无论对企业还是个人都提供了更多更快的信息和造就了更大的商机，同时也为黑客大开方便之门，提供了大量的入侵机会。黑客攻击变得相当容易，而且通过互联网可以轻而易举的窃取信息、篡改数据和非法攻击，对网络使用者及社会造成的危害和损失日益增加。 同时伴随企业信息化的不断发展和壮大，企业原有的网络变得日益庞大而复杂，面对很多7×24的实时运行的网络设备、主机系统以及各种业务应用系统，对如何通过集中式管理来提高企业网络管理的透明性和安全性提出了挑战。 综合上述两个原因，利用日志服务器记录设备运行信息，强化日志安全审计功能，分析日志信息的特点，抵御黑客攻击，提升IT 部门的服务质量，成为网络管理中很重要的工作。根据实际工作经验，介绍一种集中管理日志服务器架设的技术及相关应用，为设备的统一管理提供详细的日志数据。 1集中管理日志服务器的搭建 集中管理日志服务器可利用Syslog 标准协议实现日志信息的接收。Syslog 是一种工业标准协议，用来记录设备的行为日志。Syslog 允许一个设备通过IP 地址，把事件信息传递给该信息的接收者，同时也允许设备（如：路由器、交换机、防火墙、服务器等）向日志服务器发送事件信息。因此，使用Syslog 协议接收和发送日志信息是搭建集中管理日志服务器简单而有效手段。 集中管理日志服务器是一套软硬件结合的系统。为了确保日志数据的安全，需要一台专门的服务器来承担，服务器的性能没有特殊要求，具有足够的存储空间即可。在当前技术条件下，日志服务器的硬件要求比较容易满足，投入并不大。同时，日志服务器还需要软件系统来完成日志的传输和管理。在Windows2003下使用3CSyslog 软件作为日志主机软件。日志主机软件按照约定的传输类型收集从设备发送过来的日志信息，集中进行管理。同时通过Windows 任务计划和批处理脚本实现日志信息每日自动备份。 在Windows2003Server 服务器中，安装3CSyslog 日志软件，采用默认安装。安装完成后打开3CSyslog 程序，点击“Configure ”按钮对3CSyslog 软件进行配置。 1）在日志软件的“SecuritySettings ”页面中，配置需要将日志信息收集到日志服务器的设备。可选择将所有设备的日志信息收集到日志服务器或根据工作实际设置具体的发送日志信息的设备。如图1 。 图１“ＳｅｃｕｒｉｔｙＳｅｔｔｉｎｇｓ”配置页面 2）在日志软件的“LogFileDestinations ”页面中，配置日志信息的存放目录及日志信息的命名规则。可根据日志信息的优先级或严重等级进行命名，方便日志信息的浏览分析。如图2 。 图２“ＬｏｇＦｉｌｅＤｅｓｔｉｎａｔｉｏｎｓ”配置页面 3）日志信息自动备份设置。在日志服务器上，利用任务计划和批处理脚本设置日志信息每日自动备份并存放在以当日日期命名的文件夹中，方便日志信息的查找和保存。 批处理脚本如下：@echooff path=%path%;C :\Program Files\3Com Corp\3CSyslog taskkill/f /im 3CSyslog.EXE set dd=%date:~8,2%set mm=%date:~5,2%set yy=%date:~0,4% set folder="%yy%.%mm%.%dd%"mde:\SYSLOG\%folder% xcopyd:\sysloge:\SYSLOG\%folder%/A del/Qd:\syslog start 3CSyslog.EXE 。 在日志服务器中设置任务计划，利用该批处理脚本可实现每日自动备份。 2在H3C 交换机上的应用2.1交换机日志文件系统介绍 日志是设备对于每天发生的事件的文件记录。交换机每天都在产生大量的日志，这些日志记录了设备的运行情况、用户对设备的访问操作和通过设备流转的数据的简要信息。日志文件默认分布于交换机自身的日志缓存或者日志文件中，信息比较庞杂，一个个设备查看日志有很大的盲目性，工作量也不是日常维护管理可以承担的，这就导致了日志文件仅仅存在一段时间后被新的日志所覆盖，没有得到有效的利用。要利用日志信息，就要对日志进行有效的管理，建立日志服务器能够胜任这一工作。集中管理日志服务器利用日志服务器软件，采集网络交换机日志信息，建立完整的日志系统，实现日志信息的集中存储和统一管理。 2.2H3C 交换机日志配置 H3C 交换机使用信息中心系统实现日志信息的管理、输出和筛选 130