Maison  >  Article  >  Opération et maintenance  >  Comment effectuer la gestion des journaux et l'audit sur les systèmes Linux

Comment effectuer la gestion des journaux et l'audit sur les systèmes Linux

WBOY
WBOYoriginal
2023-11-07 10:30:251471parcourir

Comment effectuer la gestion des journaux et laudit sur les systèmes Linux

Comment effectuer la gestion et l'audit des journaux dans les systèmes Linux

Aperçu :
Dans les systèmes Linux, la gestion et l'audit des journaux sont très importants. Grâce à une gestion correcte des journaux et à des stratégies d'audit, le fonctionnement du système peut être surveillé en temps réel, les problèmes peuvent être découverts en temps opportun et les mesures correspondantes peuvent être prises. Cet article explique comment effectuer la gestion des journaux et l'audit sur les systèmes Linux et fournit des exemples de code spécifiques à titre de référence.

1. Gestion des journaux

1.1 Règles d'emplacement et de dénomination des fichiers journaux
Dans les systèmes Linux, les fichiers journaux se trouvent généralement dans le répertoire /var/log. Différents systèmes et applications génèrent leurs propres fichiers journaux afin que vous puissiez afficher les fichiers journaux appropriés selon vos besoins. Les fichiers journaux courants incluent :

  • /var/log/messages : informations importantes et journaux d'erreurs pour le système et les applications.
  • /var/log/auth.log : informations d'authentification et d'autorisation et journaux d'erreurs.
  • /var/log/syslog : journal détaillé de l'état de fonctionnement du système.
  • /var/log/secure : informations relatives à la sécurité et journaux d'erreurs.

Afin de mieux distinguer les fichiers journaux, vous pouvez utiliser des règles de dénomination, telles que l'ajout d'informations sur la date et le nom d'hôte au nom du fichier journal.
Exemple de code :

filename=`date +%Y-%m-%d`_`hostname`.log

1.2 Définir la rotation des journaux
Afin d'éviter que le fichier journal ne devienne trop volumineux, vous pouvez définir des règles de rotation des journaux. Dans les systèmes Linux, l'outil de rotation des journaux couramment utilisé est logrotate. En configurant logrotate, les fichiers journaux peuvent être sauvegardés ou compressés régulièrement, puis de nouveaux fichiers journaux peuvent être créés.

Exemple de code :
Créez le fichier de configuration logrotate /etc/logrotate.d/mylog et configurez les règles de rotation :

/var/log/mylog {
    monthly
    rotate 4
    compress
    missingok
    notifempty
}

Remarque : La configuration ci-dessus indique que le fichier journal est alterné une fois par mois et que les 4 dernières sauvegardes sont conservées. ; la compression est effectuée pendant la rotation ; Ignorer si le fichier journal n'existe pas ; ne pas effectuer de rotation si le fichier journal est vide.

1.3 Utiliser des outils de surveillance des journaux
Afin de surveiller plus facilement les informations des journaux en temps réel, vous pouvez utiliser certains outils de surveillance des journaux. Les outils de surveillance des journaux couramment utilisés incluent Logcheck et Logwatch. Ces outils peuvent vérifier régulièrement les fichiers journaux, puis envoyer les informations clés des journaux aux administrateurs par courrier électronique.

2. Audit

2.1 Configurer les règles d'audit
Le système Linux fournit un système d'audit (système d'audit), qui peut enregistrer les événements liés à la sécurité dans le système. En configurant les règles d'audit, les événements clés du système peuvent être enregistrés en temps réel, tels que l'accès aux fichiers, les modifications d'autorisations, les connexions, etc.

Exemple de code :
Créer des règles d'audit :

auditctl -w /etc/shadow -p w -k shadow_changes

Instructions : Dans l'exemple ci-dessus, les règles d'audit sont configurées pour surveiller les modifications des autorisations d'écriture du fichier /etc/shadow. Si des modifications se produisent, les événements d'audit seront enregistrés et. le mot-clé est défini sur shadow_changes.

2.2 Afficher le journal d'audit
Le système d'audit enregistrera tous les événements d'audit et les sauvegardera dans le fichier /var/log/audit/audit.log. Vous pouvez afficher le contenu du journal d'audit via la commande aureport.

Exemple de code :
Afficher tous les événements d'audit :

aureport

2.3 Utilisation des outils d'audit
Afin d'afficher et d'analyser les journaux d'audit plus facilement, vous pouvez utiliser certains outils d'audit. Les outils d'audit couramment utilisés incluent AIDE et OSSEC-HIDS. Ces outils surveillent votre système pour détecter les événements de sécurité en temps réel et fournissent des capacités de reporting et d'alerte.

Conclusion :
Avec des stratégies correctes de gestion des journaux et d'audit, les anomalies du système et les problèmes de sécurité peuvent être découverts à temps. Dans les applications réelles, les règles de gestion des journaux et d'audit peuvent être configurées en fonction de besoins spécifiques, et les outils correspondants peuvent être utilisés pour la surveillance et l'analyse. Grâce à la gestion des journaux et à l'audit, la sécurité et la stabilité du système peuvent être améliorées.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

Déclaration:
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn