犯罪记录的高级处理手段[网络技术]

首先,有一个坚固的系统日记传输尺度.最简单的办法是登录本地并按期复制到一个SSH服务器.有一些可用的自动方法来操作,以下所示:

    1. 转储日记 - logrotate

    2. 紧缩 - gzip

    3. 利用校验和算法 - md5sum

    4. 从主机复制日记到服务器 - scp

    5. 再次运行md5sum并举行对比

    6. 在安全的地方存储日记文件并校验（极大概已加密）

    不过,这种办法最明显的缺陷就是时间耽误.差别的是基于UDP的系统日记,该日记复制办法答应日记之间的生成和安全储存以及解析.有时需求当即看到至关重要的日记文件.

    有一种办法可以当即拜候日记,那就是隧道.利用Netcat可以通过安全隧道UDP通太重定向syslog到TCP隧道.基本步骤以下所示:

    生成日记的主机:

    1. 编辑/etc/syslog.conf:

    *.* @localhost

    2. 运行号令:

    # nc -l -u -p 514 | cryptcat 10.2.1.1 9999

    汇集日记的主机:

    1. 远程接纳syslog

    2. 运行号令:

    # cryptcat -l -p 9999 | nc -u localhost 514

    别的,Stunnel的SSL封包,可利用于Cryptcat.

    假如不称心暂时隧道办理筹划,大概需求更高的安全性（如更高的发送确认或加密日记的完好性考证）,这大概是考虑syslog替换品的时刻了.我们将看看两个众所周知的替换品:由BalabIT开辟的syslog-ng和CORE SDI开辟的msyslog.（还有第三个挑选,由Darren Reed编写的nsyslog,但仿佛没有主动地更新了.）它们的共同特点包含TCP通道、更多过滤功效（除了尺度的严重程度和系统日记设备）和日记文件的完好支持.

    msyslog

    在TCP情势安装工作需求触及到主机上的情形,以下所示:

    客户端:

    1. 改正/etc/syslog.conf

    *.* %tcp -a -h loghost -p 514 -m 30 -s 8192

    替换

    *.* @loghost

    2. 运行msyslogd -i linux -i unix,仅仅运行/etc/init.d/msyslog start便可完成.

    服务器:

    1. 运行msyslogd -i linux -i unix -i 'tcp -a -p 514',这个可以改正/etc/syslonfig/msyslog完成:

    IM_LINUX="-i linux" # 典范:"-i linux"

    IM_TCP="-t tcp -a -p 514" # 典范:"-i tcp accepted.host.com 514"

    IM_UNIX="-i unix" # 典范:"-i unix"

    后来果是未加密的TCP衔接（可以通过tcpdump proto TCP和514端口考证,便可看到日记信息）.在syslog的汇集服务器中,分布着各种日记文件,需求举行以下任务:

    1. 对syslog.conf增添一行:

    *.info;mail.none;authpriv.none;cron.none %peo -l -k

    /etc/.var.log.authlog.key %classic /var/log/messages

    2. 终止syslog保护进程并删除日记文件

    3. 运行改程序成立初始校验（利用内置的“peochk”程序）:

    # peochk -g -k /etc/.var.log.authlog.key

    4. 开启syslog:/etc/init.d/msyslog start

    测试一下:

    peochk -f /var/log/messages -k /etc/.var.log.authlog.key

    看:

    (0) /var/log/messages文件是无缺的

    假如编辑“messages”文件（比方,删除一行）,然后重新测试,后果将是:

    (1) /var/log/messages已破坏

    msyslog的长处包含:它利用相同的/etc/syslog.conf文件作为通例系统日记,全部在UDP情势以及遍及的正则表达式支持,这在安装历程中非常有效.

    最安全的设置会触及到一个具有约束的msyslog本地主机地址（127.0.0.1）和利用了SSH RSA/DSA认证的拜候掌握,以及相关日记服务器的哈希完好性查抄.另一个重要问题是缓冲.由于TCP供应坚固的传输（不像UDP）,确保日记服务器不会呈现停机情况.Msyslog供应了可配置缓冲的选项.如上述配置:“-m 30 -s 8192”重试限制和缓冲区大小.

    Syslog-ng

    Syslog-ng支持TCP衔接、过滤信息、完好转发主机日记等等,大量文档都可用到.

    为了使Syslog-ng可以工作,就必须利用一个转换工具,转换/etc/syslog.conf到syslog-ng的格局文件.号令以下所示:

[1] [2] [3]  下一页