日志对于网络安全非常重要。它记录了系统每天发生的各种事情。可以通过它检查错误的原因或者攻击者留下的痕迹。Cisco是目前广泛使用的路由器,
它广泛应用于许多工业系统中。以下是我们在日常工作中积累的一些设置Cisco路由器日志的经验。这些例子已经在实际应用中调试并投入使用,我们可以利用路由器日志快速定位并排除故障。
路由器是各种信息传输的枢纽,广泛应用于企事业单位的网络建设中,承担着局域网之间以及局域网与广域网之间连接的重要任务。
一、什么是路由器日志?路由器的一些重要信息可以通过syslog机制记录在内网的Unix主机上。在路由器运行过程中,路由器会向日志主机发送包括链路建立失败信息、包过滤信息等日志信息,
通过登录日志主机,网络管理员可以了解日志事件,分析日志文件,帮助管理员定位、排查和管理网络安全。
二、路由器日志记录存储的位置sysloqd为您提供了以下方法来记录系统中发生的事件:(1)指定的远程主机如果您没有记录本地机器上的系统信息,您可以记下网络中另一台主机的名称。
然后在主机名前添加“@”符号(例如,(@)ccunix1.variox.int,但您指定的主机必须具有sysloqd)。这可以防止日志文件因硬盘错误而丢失。
一般文件这是最常见的方式。您可以指定文件路径和文件名,但必须以目录符号“/”开头,系统才会知道这是一个文件。
比如/var/adm/maillog的意思是记录到/var/adm下一个名为maillog的文件,如果之前没有这个文件,系统会自动生成一个。
(3)指定终端或其他设备您也可以将系统记录写入终端或设备。如果系统记录被写入终端,
那么当前正在使用终端的用户会直接在屏幕上看到系统信息(比如/dev /conso old或者/dev/tty1,可以拿一个屏幕来显示系统信息)。如果将系统记录写入打印机(例如/dev/!p0).
然后你就会有一张写满系统记录的纸条,让网络入侵者无法修改日志来隐藏入侵痕迹。以上是syslog的记录程度和记录方式的编写方法,大家可以根据自己的需要记录自己需要的内容。
但是这些记录一直在添加,除非文件被自己删除,否则这些文件会越来越大。Syslog设备是网络攻击者的明显目标,因此我们应该特别注意它,通过修改日志来隐藏入侵痕迹。
养成每周(或更少)检查一次记录的习惯,将过期的记录按序号或日期进行备份,以便以后查阅。从不录制*。*,所以一切都会被记录下来,文件会太大。
找资料的时候,不是马上就能找到的。当有人记录网络日志时,即使是ping其主机的人也必须记录,这不仅降低了系统效率,还增加了磁盘使用率。
第三,日志应该记录到什么程度?如果您希望系统记录信息级别的事件,那么信息级别以上的事件,如通知、错误、警告、严重、警报和紧急事件,也将被记录。
把上面写的1、2项加上小数点,就是完整的‘记什么’的写法。例如,mail.info表示关于电子邮件传递系统的一般信息。Auth.emerg是非常严肃的关于系统安全的信息。
Ipr.none表示不记录打印机的信息(通常在有多个记录条件时组合使用)。此外,还有三种特殊符号可供应用:
具体设置方法如下:关于系统安全和用户认证的authCron on系统自动排序执行(CronTable);后台执行程序的守护进程;了解系统核心;关于打印机的知识产权;Mai1关于电子邮件;关于新闻讨论区的新闻;系统日志记录自身关于系统的信息;用户关于用户;关于UNIX相互复制的uucp(UUCP)。
