查看服务器日志可以干什么
2008-11-30 18:40
一、利用Windows自带的防火墙日志检测入侵
下面是一条防火墙日志记录
2005-01-1300:35:
2005-01-1300:35:04:表示记录的日期时间
OPEN:表示打开连接;如果此处为Close表示关闭连接
TCP:表示使用的协议是Tcp
4959:表示本地的端口
80:表示远程的端口。注:如果此处的端口为非80、21等常用端口那你就要注意了。
每一条Open表示的记录对应的有一条CLOSE记录,比较两条记录可以计算连接的时间。
注意,要使用该项,需要在Windows自带的防火墙的安全日志选项中勾选“记录成功的连接”选项。
二、通过IIS日志检测入侵攻击
1、认识IIS日志
IIS日志默认存放在System32\LogFiles目录下,使用W3C扩展格式。下面我们通过一条日志记录来认识它的格式
2005-01-0316:44:
-;+MSIE+6.0;+Windows+NT+5.2;+.NET+CLR+
2005-01-0316:44:57:是表示记录的时间;
;
GET:表示获取网页的方法
/Default.aspx:表示浏览的网页的名称,如果此外的内容不是你网站网页的名称,那就表示可能有人在用注入
式攻击对你的网站进行测试。如:“/msadc/..蜡..蜡..
蜡../winnt/system32/cmd.exe/c+dir”这段格式的
文字出现在浏览的网页后面就表示有攻击者尝试能否进入到你的系统目录下。-80:表示服务器的端口。
-
就要注意了。
Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.2;+.NET+CLR+
操作系统的版本信息
200:表示浏览成功,如果此处为304表示重定向。如果此处为404则表示客户端错误未找到网页,如果服务器没
有问题但出现大量的404错误也表示可能有人在用注入式攻击对你的网站进行测试。
2、检测IIS日志的方法
明白了IIS日志的格式,就可以去寻找攻击者的行踪了。但是人工检查每一条数据几乎是不可能的,所以
我们可以利用Windows本身提供了一个命令findstr。下面以寻找05年1月1日日志中包含CMD字段为例演示
一下它的用法。IIS日志路径已设为D\w3c
Cmd提示符下输入:findstr"cmd"d\w3c\ex050101.log回车。怎么同一个IP出现了很多,那你可要注意了!
下面是我写的几个敏感字符,仅供参考,你可以根据自己系统、网页定制自己的敏感字符,当然如果你根据
这些字符作一个批处理命令就更方便了。
cmd、'、\\、..、;、and、webconfig、global、
如果你感觉findstr功能不够直观强大,你可以AutoScanIISLogFilesV1.4工具。它使用图形化界面
一次可以检测多个文件。下载地址:/View-Software-1585.html
如果你感觉这些IIS日志中的信息记录还不够多,那么你可以做一个隐藏网页,凡是登陆到网站上都会先定向到
该网页,然后你可以在该网页中添加代码,获取用户的IP、操作系统、计算机名等信息。并将其输入到数据库
中,这样即使一个攻击者使用动态的IP只要他不换系统,即使删除了IIS日志,你也可以把他找出来。
三、通过查看安全日志检测是否有成功的入侵
如果你你启用了登陆事件、策略更改、账户登陆、系统事件的成功失败的审核,那么任何成功的入侵都将
在安全日志中留下痕迹
推荐的作法:
1、建议每天最少检查一次安全日志。
推荐重点检查的ID事件
529:登录失败,试图使用未知用户名或带有错误密码的已知用户名进行登录。528:用户成功登录到计算机上。
539:登录失败:登录帐号在登录尝试时被锁定。此事件表明有人发动密码攻击但未成功,因而导致账户锁定
682:用户重新连接到一个已经断开连接的终端服务器会话上。终端服务攻击683:用户在没有注销的情况下与终端服务器会话断开连接。终端服务攻击
624:一个用户帐号被创建。
625:更改了用户账户类型
626:启用了用户账户
629:禁用了用户账户
630:删除了用户账户
以上5个事件可能是一个攻击者试图通过禁用或删除发动攻击时使用的账户来掩盖他们的踪迹。
577:用户试图执行受到权限保护的系统服务操作。
578:在已经处于打开状态的受保护对象句柄上使用权限。
577、578事件中详细信息中特权说明
SeTcbPrivilege特权:此事件可以表明一个用户通过充当操作系统的一部分来试图提升安全权限,如一个用户
试图将其账户添加到管理员组就会使用此特权
SeSystemTimePrivilege特权:更改系统时间。此事件可表明有一个用户尝试更改系统时间
SeRemoteShutDownPrivilege:从远程系统强制关闭
SeloadDriverPrivilege:加载或卸载驱动程序
SeSecurityPrivilege:管理审计和安全日志。在清除事件日志或向安全日志写入有关特权使用的事件是发生
SeShutDownPrivilege:关闭系统
SeTakeOwnershipPrivilege:取得文件或其他对象的所有权.此事件可表明有一个攻击者正在通过取得一个
对象的所有权来尝试绕过当前的安全设置
517:日志事件被清除或修改。此事件可以表明一个攻击者企图通过修改或删除日志文件来掩盖他们的踪迹
612:更改了审计策略。此事件可以表明一个攻击者企图通过修改审计策略来掩盖他们的踪迹
如为了掩盖删除日志文件的踪迹他可能先关闭系统事件的审核。
2、通过筛选器来查看重要性事件
方法:点击事件查看器窗口中的查看菜单,点击筛选,点击筛选器,定义自己的筛选选项,确定即可。
3、在查看完成之后备份事件
方法:点击事件查看器窗口中的操作菜单,点击导出列表,选择保存路径和文件名,如果保存类型
选择了“文本文件(制表符分隔)”,将会保存为文本文件。如果保存类型
选择了“文本文件(逗号分隔)”,将会保存为Excel文件。
当然也可以选择另存日志文件。
如果感觉这样保存麻烦也可以使用微软的resourceKit工具箱中的dumpel.exe 配合计划任务可以实现
定期备份系统日志。
4、删除检查过的日志文件,日志文件越少越容易发现问题。
5、配合系统日志程序日志检测可疑内容
6、使用EventCombMT工具
EventCombMT是一个功能强大的多线程工具,它可同时分析许多服务器中的事件日志,为包含在搜索条件中的
每一台服务器生成一个单独的执行线程。利用它你可以定义
要搜索的单个事件ID或多个事件ID,用空格分格
定义一个要搜索的事件ID范围。如:528>ID<540
将搜索限定为特定的事件日志。如:只搜索安全日志
将搜索限定为特定的事件消息。如:成功审计
将搜索限制为特定的事件源。
搜索事件说明内的特定文本。
定义特定的时间间隔以便从当前日期和时间向后扫描
注:要使用该工具您需要安装WindowsServer2003ResourceKitTools.安装完成后在命令提示符下输入EventCombMT即可
下载地址:/details.aspx?FamilyID=
9d467a69-57ff-4ae7-96ee-b18c4790cffd&DisplayLang=en
四、通过端口检测入侵攻击
端口是攻击者最喜欢的进入的大门,所以我们要养成查看端口的习惯
1、通过netstat命令。CMD提示符下
netstat-ano:检测当前开放的端口,并显示使用该端口程序的PID。
netstat-n:检测当前活动的连接
如果通过以上命令发现有不明的端口开放了,不是中了木马就是开放新的服务。处理方法:
打开任务管理器,在查看菜单下选择列,勾选PID,点击确定。然后根据开放端口使用的PID在任务管理器中
查找使用该端口的程序文件名。在任务管理器杀掉该进程。
如果任务管理器提示杀不掉,可以使用ntsd命令,格式如下:c:\>ntsd-cq-pPID。如果使用该PID的进程不是单独的程序文件而是调用的Svchost或lsass(现在有很多木马可以做到这一点)。那么
需要你有很志业的知识才能查找到。我的经验是下面的几种方法配合使用
在服务中查找使用Svchost或lsass的可疑服务。在命令提示符下输入
tasklist/svc可以查看进程相关联的
PID和服务。
利用Windows优化大师中的进程管理去查找Svchost或lsass中可疑的.dll。检查System32下最新文件:在命令提示符sytem32路径下输入dir/od
利用hijackthis工具可以查出系统启动的程序名和dll文件.下载地址:
/3992.htm
发现可疑的dll后如果不知道是否为病毒文件去Google吧
2、使用ActivePort软件
ActivePort软件安装后用的是图形化界面,它可以显示所有开放的端口,当前活动的端口,并可以将端口、
进程、程序名路径相关联。并且可以利用它来中断某个活动的连接
五、通过进程监控可疑程序
如果发现不正常的进程,及时杀掉,如果在任务管理器中无法杀掉可以去查找可疑的服务,将服务关闭后
再杀,当然也可以在提示符下利用ntsd命令。格式为:ntsd-cq-pPID
六、利用Svcmon.exe(serviceMonitoringTool)监视已安装的服务
这个工具可以用来监视本地或者是远程计算机服务的状态改变,当它发现一个服务开始或者是停止的时候,
这个工具将会通过发e-mail或者是ExchangeServer来通知你知道。要想使用这个工具需要安装ResourceKit。
但是去MS的网站/details.aspx?FamilyID=
9d467a69-57ff-4ae7-96ee-b18c4790cffd&DisplayLang=en下载的ResourceKit 安装后没有找到这个工具,
其实还有很多工具这个ResourceKit没有。可能这是一个简单的ResourceKit 包。后来又安装了2003
光盘上的SupportTools也没找到它。我使用了2000的
ResourceKit安装光盘,安装后,在2003上一样可以使用。不过我用了后发现系统会不稳定,所以最好找2003的ResourceKit安装光盘。
这个工具由两部分组成,Svcmon.exe在你安装好ResourceKit后,默认的位于
C:\ProgramFiles\ResourceKit
文件夹下,你要将其拷贝到%SystemRoot%\System32下,然后在命令提示符下输入Smconfig将打开
配置向导。是图形界面,注意在ExchangeRecipients那里添如你要提醒的用户的Email。其他的
按照指示做就可以了。
如果发现有不正常的服务可以使用ResourceKit中的Instsrv.exe移除服务
使用格式:instsrvservicenameRemove
七、检测System32下的系统文件
在安装好系统后和安装新的软件后对System32文件夹做备份,然后用COMP命令定期检查该文件的内容查找
可疑的文件夹或文件。COMP命令的使用格式为:命令提示符下
COMPdata1data2/L/C
data1指定要比较的第一个文件的位置和名称。
data2指定要比较的第二个文件的位置和名称。
/L显示不同的行数。
/C比较文件时不分ASCII字母的大小写。
注:MS的WinDiff工具可以图形化比较两个文件
八、利用Drivers.exe来监视已安装的驱动程序
现在有的攻击者将木马添加到驱动程序中,我们可以通过MS提供的Drivers工具来进行检测。
在运行此工具的计算机上,此工具会显示安装的所有设备驱动程序。该工具的输出包括一些信息,其中
有驱动程序的文件名、磁盘上驱动程序的大小,以及链接该驱动程序的日期。链接日期可识别任何新安
装的驱动程序。如果某个更新的驱动程序不是最近安装的,可能表示这是一个被替换的驱动程序。
注:Drivers.exe工具在MS的的网站下载的
WindowsServer2003ResourceKitTools中也没有这个工具
我是使用的2000的。
九、检查本地用户和组
这个想来不用说太多,大家都知道的了,需要注意的一点是,如果使用命令行的netuser来查看,将无法查看
到隐藏的用户(即用户名后加了$的),所以最好使用管理单元来查看所有用户。
十、检查网页文件,特别是有与数据库连接的文件的日期,现在有的攻击者入侵后会在网页代码中留下后门,
所以如果日期发了变化,那就要注意查看了。
十一、附Server2003EnterpriseEdition安装IIS和SQL2000后默认启动的服务、进程、端口
1、已启动的服务
AutomaticUpdate、COM+EventSystem、ComputerBrowser、CryptographicServices、DHCPClient、
DistributedfileSystem、DistributedlinkTracking、Distributedtransaction、DNSClient、
ErrorReporting、Eventlog、HelpAndSupports、IPSECServices、LogicalDiskManager、
NetworkLocation、plugandplay、PrintSpooler、RemoteProcedureCall、RemoteRegistry、
SecondaryLogon、SecurityAccounts、Server、SystemEventNetification、TaskScheduler、
TCP/IPNetBIOS、TerminalServices、WindowsInstaller、WindowsManagementInstrumentation、
WindowsTime、WirelessConfig、Workstation。
以下为安装IIS(只有WEB服务)后新加的启动的服务
AddService、Com+systemapplication、HttpSSL、IISAdminService、networkconnections、protectedstorage、shellhardware、wordwideweb。
以下为安装SQL2000后新增加的已启动的服务
MicrosoftSearch、NTLMSecurity、MSSQLServer
2、已启动的进程
ctfmon:admin、wpabaln:admin、explorer:admin、wmiprvse、dfssvc、msdtc:networkservice、
sploolsv、lsass、conime:admin、services、
svchost:7个其中localservice2个、networkservice1个、winlogon、csrss、smss、
system、systemidleprocess。共计:22个进程,其中admin、networkservice、localservice表示用户名
未注明的为System用户
以下为安装IIS后新增加的进程
wpabaln:admin、inetinfo、
以下为安装SQL后新增加的进程
mssearch、sqlmangr、wowexecadmin、sqlservr
3、已开启的端口
TCP:135、445、1025、1026、139
udp:445、500、1027、4500、123
以下为安装IIS后新增加的端口
tcp:80、8759注意8759这个端口是第一次安装后自动选择的一个端口,所以每台机会不同
以下为安装SQL后新增加的端口
tcp:1433
点击文章中飘蓝词可直接进入官网查看 实时日志监控系统 企业业务逐渐发展,公司业务系统变得越来越多,为了保证公司的业务正常发展,企业需要对这些线上系统的运行进行监控,做到问题的及时发现和及时处理,减少对 业务的影响。实时日志监控系统就是处理这些问题比较好的工具,实时日志监控系统 有哪些特点?实时日志监控系统哪家比较好?今天小编给大家简单介绍一下。 实时日志监控系统,系统旨在帮助企业建立一套整体化安全运维管理监控平台, 通过获取防病毒系统、防火墙、入侵检测系统、漏洞扫描系统、运行主机、交换机、 路由器、数据库系统、中间件等日志事件、状态事件和网络数据包和各类设备的状态 运行数据的采集、综合评价和网络安全事件关联分析,实现对来自外部攻击的安全审 计和对来自内部攻击的安全审计。 实时日志监控系统包括日志、应用程序日志和安全日志。每条日志都记载着时间戳、主机名、使用者及操作行为等相关的描述,系统运维和开发人员可以通过日志了 解服务器软硬件信息、检查配置过程中的错误及错误发生的原因。经常分析日志可以 了解服务器的负荷,性能安全性,及时分析问题、追查错误根源纠正错误。 无论是大型还是小型企业,监控内部网络活动已成为其主要要求。要保护网络安 全以防范泄露和威胁,各企业需要采取积极的措施来保证其网络和数据的安全性。监 控事件日志用准确的方式来检测网络异常、数据泄露尝试及跟踪网络入侵者。 南京风城云码软件技术有限公司是获得国家工信部认定的“双软”企业,具有专 业的软件开发与生产资质。多年来专业从事IT运维监控产品及大数据平台下网络安全审计产品研发。开发团队主要由留学归国软件开发人员及管理专家领衔组成,聚集了 一批软件专家、技术专家和行业专家,依托海外技术优势,使开发的软件产品在技术 创新及应用领域始终保持在领域上向前发展。
收集日志操作如下: HPS 1、将附件HPSRPT_Enhanced_v9.0.00r2.zip 文件copy到目标服务器,存放在c:\ 2、解压到当前文件夹后双击运行HPSRPT_Enhanced_v9.0.00r2.cmd文件 3、不要关闭DOS运行窗口大约15分钟左右会自动消失说明运行完成。 4、完成后需要到C:\WINDOWS\HPSReports\Enhanced\Report\cab 目录下查看生成文件信息 5、收集对应时间点的cab文件即可。 第一个日志:ADU报告 2、打开开始——程序——HP System Tools——HP Array Configuration Utility——HP Array Configuration Utility。
3、选择Local Applcation Mode,本地应用模式。 4、打开了HP Array Configuration Utility工具后,点中间的Diagnostics选项卡,选中左侧的
阵列卡,右侧会出现2个按钮,查看和提取日志报告,我们选择Generate Diagnostic Report。 5、提示Reprot Generation Complete日志提取完毕,这时可以选择右下角Save report按钮。
6、选择保存,弹出保存菜单,点保存。 7、可以选择保存到桌面上。
第二个报告:survey报告 打开开始——程序——HP System Tools——HP Insight Diagnostics online Edition for Windows ——HP Insight Diagnostics online Edition for Windows。 9、提示安全证书报警,选择是,继续。
天融信日志服务器配置说明书 (Topsec_Auditor_Server_2.0专用版) VER: 2.0 杭州市工商行政管理局网络安全二期项目工程文档 --------日志服务器配置说明书 北京天融信网络安全技术有限公司杭州分公司 2004年12月 天融信安全技术高品质的保证
文档管理 文档信息 文档名称杭州市工商局网络安全二期项目工程文档保密级别内部文档文档版本编号V1.0 制作人杭州天融信公司制作日期2004-12-04 复审人复审日期 适用范围本文档为杭州市工商局网络安全实施文档,提交给杭州市工商局网络安全项目组相关人员审阅、备案。 分发控制 编号读者文档权限与文档的主要关系 1 杭州天融信项目组创建、修改、读取文档制作者 2 杭州市工商局审阅直接客户 3 杭州市万事达公司审阅网络安全项目集成商 版本控制 时间版本说明修改人2004-12-04 V0.9 文档创建王余 2004-12-06 V1.0 文档修订王余
目录 3安装数据库服务器........................................................................................................ 6安装并配置审计服务器................................................................................................ 11安装并配置审计管理器.............................................................................................. 17配置防火墙日志权限..................................................................................................
如何查看电脑使用记录 系统设置 : 怎样在日志里面记录用户地登陆、对文件地访问等信息? : "开始"—>"运行"—>""—>"计算机配置"—>"设置"—>"安全设置"—>"本地策略"—>"审计策略"—>...b5E2R。 .看计算机在哪天运行过运行了多久! (系统安装在盘) 找到:\\文件里面有你自这个系统产生以来曾经工作过地时间,包括哪天开了机开机时间关机时间! 也可以进入控制面版管理工具事件查看器系统可以看到开机和关机时间. .看你最近运行过什么程序: 找到:\\下.里面有记录你曾经运行过什么程序,文件最前面地及为程序名,后面地执行代码不用理他!如果你没有优化过地话这里面保存地东西应该是非常有价值地!p1Ean。 .看你最近打开过什么文件(非程序)和文件夹! 开始运行
.看最近在网上做了什么…………等等 显示所有文件个文件夹,找到:\ \\ 目录你慢慢探索一下这个文件夹吧如果没有进行过磁盘清理或相关优化你所有记录可全在这个里面哦(包括你上网干了什么坏事可能还能有视频,图片罪证呢!呵呵)DXDiT。 .查看最近删除了什么:这就要用到硬盘恢复工具啦把你曾经以为彻底删除掉地东西都给你翻出来哈哈!! 相关软件(以下软件较旧,可以找相关新版地软件,自己去百度搜索吧). 文件大小:更新时间:下载次数:次软件星级:★★★ 可以即时地监测你地电脑,当你地电脑有改变地时候,它会立刻提示你,从而让你作出选择. 软件分类:系统监视操作系统:授权方式:试用版RTCrp。 文件大小:更新时间:下载次数:次软件星级:★★★ 可说是地加强版,有别于地一次只可以监控一个文件,可以监控一个文件夹中下地所有文件. 软件分类:系统监视操作系统:授权方式:试用版5PCzV。
应用系统日志规范 在应用程序中添加程序日志记录可以跟踪代码运行时轨迹,作为日后 审计的依据;并且担当集成开发环境中的调试器的作用,向文件打印代码 的调试信息。本规定Jave EE项目必须使用Commons-Logging作为日志接 口封装,选用Apache提供的可重用组件Log4j作为底层实现。 1.日志命名规范 根日志(root logger)位于日志层次的最顶层,它的日志级别不能指派为空;不能通过使用它的名字直接得到它,而应该通过类的静态方法Logger.getRootLogger得到它(指root logger)。所有其他的日志可通 过静态方法Logger.getLogger来实例化并获取,这个方法 Logger.getLogger把所想要的logger的名字作为参数,一般取本类的名字作为参数。 2.日志信息级别规范 日志信息输出的优先级从高到低至少应分为五档,分别是Fatal、ERROR、WARN、INFO、DEBUG。这些级别用来指定这条日志信息的重要程度。在测试阶段可以打开所有级别的日志,系统上线后只允许输出INFO以上级别(含INFO)。 各级别的日志信息作用规定如下: 2.1致命(Fatal) 严重的错误,系统无法正常运行,如硬盘空间满等。这个级别很少被用,常暗含系统或者系统的组件迫近崩溃。
2.2错误(Error) 系统可以继续运行,但最好要尽快修复的错误。这个级别用的较多,常常伴随Java异常,错误(Error)的环境不一定会造成系统的崩溃,系统可以继续服务接下来的请求。 2.3警告(Warn) 系统可以正常运行,但需要引起注意的警告信息。这个级别预示较小的问题,由系统外部的因素造成的,比如用户输入了不符合条件的参数。 2.4信息(Info) 系统运行的主要关键时点的操作信息,一般用于记录业务日志。但同时,也应该有足够的信息以保证可以记录再现缺陷的路径。这个级别记录了系统日常运转中有意义的事件。 2.5调试(Debug) 系统运行中的调试信息,便于开发人员进行错误分析和修正,一般用于程序日志,关心程序操作(细粒度),不太关心业务操作(粗粒度)。 系统出现问题时,必须抛出异常,在处理异常时记录日志,且日志级别必须是前三个级别(Fatal\Error\Warning)中的一种。 3.日志配置规范 所有的日志配置文件放在src目录下,编译时随同.class文件一同拷贝到(%webapp_HOME%)\WEB-INF\classes\目录下,这些配置文件必须采用properties文件的编写方法, commons-logging.properties文件用来指定commons-logging的实现为log4j,log4j.properties文件用来配置 log4j的所有参数,日志配置信息不得配置在这两个文件以外的文件中。
IBM X-Server日志收集方法 -------------------------------Memory Minidump--------------------------------- Minidump调试方法: 1. 到https://www.doczj.com/doc/143091971.html,/whdc/devtools/debugging/default.mspx下载dbg_x86_6.9.3.113.msi 2. 建立临时目录c:\temp 3. 启动windbg,打开file->symbol file path (ctrl+s),输入 SRV*c:\temp*https://www.doczj.com/doc/143091971.html,/download/symbols,确定 4. 打开file->open crash dump (ctrl+d),打开%systemroot%\Minidump目录下dmp后缀的文件 5. 在左下角状态提示“kd>”后,输入“!analyze -v”,回车,下面会出现分析结果 -------------------------------BMC日志 --------------------------------- 收集BMC日志需要您准备一台笔记本和一根交叉网线连接到服务器的网络1口。 一、BMC收集 1. 到IBM网站 (https://www.doczj.com/doc/143091971.html,/systems/support/supportsite.wss/docdisplay?ln docid=MIGR-64636&brandind=5000008)下载一个压缩包 osa_utl_smbr_2.0.24.1_anyos_noarch.zip,下载好之后解压,将windows下的SMBridge安装程序拷贝到笔记本中。 2. 在服务器BIOS中设置BMC的IP地址。重启服务器,按F1进BIOS,依次选择Advanced Setup-> Baseboard Management Controller (BMC) Settings -> BMC Network Configuration,将IP地址获取方式改为静态,IP地址为10.1.1.97;子网掩码是255.255.255.0。设置完之后要选择下面的选项保存信息。 3. 设置笔记本的IP地址为10.1.1.100(建议)子网掩码为255.255.255.0。 4. 在笔记本上安装SMBridge Utility,安默认设置进行安装,程序将会被安装到C:\Program Files\SMBridge的目录下。 5. 在MS-DOS的方式下:进入到C:\Program Files\SMBridge的目录,输入命令: smbridge -ip 10.1.1.97 -u USERID -p PASSW0RD sel get > C:\bmc_log.txt
中国移动通信企业标准 QB-W-025-2011 中国移动上网日志留存系统规 范G b/I u P S采集解析设备规范 E q u i p m e n t S p e c i f i c a t i o n o f C h i n a M o b i l e N e t l o g S y s t e m (S i g n a l C o l l e c t i o n G b/I u P S P a r t) 版本号:1.0.0 2013-6-25发布2013-6-27实施中国移动通信集团公司发布
目录 前言 .................................................................... III 1 范围 (1) 2 规范性引用文件 (1) 3 术语、定义和缩略语 (1) 4 设备在系统中的位置 (2) 5 功能要求 (3) 5.1 Gb/IuPS采集位置要求 (4) 5.2 数据旁路功能要求 (6) 5.3 数据接入功能要求 (7) 5.4 协议解码功能要求 (7) 5.5 DPI功能要求(可选) (8) 5.6 数据存储功能要求 (9) 5.7 数据输出功能要求 (10) 5.8 上报告警功能要求 (10) 6 性能指标和可靠性要求 (11) 6.1 性能要求 (11) 6.2 软件要求 (11) 6.3 硬件要求 (12) 6.4 可扩展要求 (12) 6.5 部署要求 (12) 6.6 可靠性 (13) 7 接口要求 (13) 7.1 千兆以太网接口 (13) 7.1.1 1000BaseT接口 (14) 7.1.2 1000Base-SX接口 (14) 7.1.3 1000Base-LX接口 (14) 7.2 10G以太网接口 (14) 7.2.1 10GBase-S接口 (14) 7.2.2 10GBase-L接口 (14) 7.2.3 10GBase-E接口 (14) 8 时间同步要求 (15) 9 网管要求 (15) 9.1 配置管理 (15) 9.2 查询设备信息 (17) 9.2.1 设备硬件信息 (17) 9.2.2 设备网络信息 (17) 9.3 查询设备状态 (18) 9.3.1 设备负荷 (18) 9.4 设备状态管理 (19) 9.4.1 故障管理 (19) 9.5 性能管理 (20) 9.6 安全管理 (20)
XXXXXXXXXXX 任务及日志管理系统 建设方案 2012年8月
四.总体设计 错误!未 概述错误! 未定义书签。定义书签。 "系统安全设计一- 建设内容错误! 未定义书签。?错-误! 需求分析错误! 未定义书签。未定义书签。**业务需求? **任务登记 **日志登记— **日志采集一 **系统管理— ------------ 4误!未定义书签。 ------------- 错-误!未定义书签。 ------------- 错-误!未定义书签。 ------------- 错-误!未定义书签。 ------------- 错-误!未定义书签。 **统计分析-一 "涉及部门或单位错?误!未定义书签。 "用户角色错?误!未定义书签。 "信息安全耍求错?课!未定义书签。 "运维耍求错?误!未定义书签。 错?误!未定义书签。 误!未定义书签。 **业务流程设计错?误!未定义书签. “业务架构设计■错■误!未定义书签。 “业务功能设计错-误!未定义书签。 “普通用户端功能?……错?误!未定义书签。 "部门领导功能错■误!未定义书签。 -流程定义?错■误!未定义书签。 “系统技术架构设计错■误!未定义书签。 ?错?误!未定义书签。 “ J2EE体系结构- 错-误!未定义书签。 ** AJAX界面开发技术?- 错-误!未定义书签。
XXXXXX目前采用传统的方式记载个人的工作情况,如工作日志、领 导交办的任务、任务办理的情况,领导交办任务采用人工电话通知的方式,每天的工作情况全凭人工记载,领导无法查看交办事情的完成情况, 这种现状己经不能满足机构信息化管理的需求,为进一步加强机构工作的科学管理,提高工作效率,需要建立任务和日志管理系统,此系统系统要根据机构的现实要求和特点,设计一套符合机构系统内部信息流转的体系,通过科学技术手段和网络技术实现任务和日志的集中化、批量化、即时化和电子化,提高工作效率。 1、建设内容 机构“任务和日志管理系统”是一套工作管理系统,记载每天的工作日志情况,包括业务系统的日志信息,以及任务办理情况。具体建设内容包括: 建立机构内部统一的、规范的、信息互享互通平台,实现任务登记、 分配、处理等网络流转功能。 自动采集业务系统中的日志数据。 建立流程管理中的安全体系,实现CA认证登陆。 通过网络流转,实现无纸化办公。 建立各种任务和日志的查询、统计分析功能。
System X服务器日志收集的方法 一、通过SVCCON收集BMC日志 1、下载SVCCON工具ibm_utl_svccon_112_windows_anycpu.exe https://www.doczj.com/doc/143091971.html,/jct01004c/systems/support/supportsite.wss/ docdisplay?brandind=5000008&lndocid=MIGR-63877 2、设置服务器BMC的IP地址和终端(有网卡和windows操作系统的机器都 可以)的IP地址 A、BMC 管理端口共享的是服务器主板上面的第一个网络口(NIC Port 1), 缺省的模式是enable的,默认IP是10.1.1.97;子网掩码是255.255.255.0。 网络设置可以通过下面的方法去核实或设置:在F1 Setup under Advanced Setup-> Baseboard Management Controller (BMC) Settings -> BMC Network Configuration (see below): (IP地址也可以根据USER的实际情况进行更改,这里没有做强制要求) B、设置终端的IP地址为10.1.1.100(建议)子网掩码为255.255.255.0(see below) 3、使用SVCCON工具收集BMC日志 A、直接运行下载程序ibm_utl_svccon_112_windows_anycpu.exe,会弹 出一个窗口(see below),10.1.1.97是默认的IP,也可以更改成USER 自定义的IP。 B、然后点击Logon,登陆成功后,最下面的信息栏中显示的是Connecting 状态(see below) 。 C、点击Dump SEL键,会弹出一个对话框,在对话框中键入需要保存信 息的文件名,【建议使用服务器的型号序列号命名(see below)】,选 择保存。 D、日志保存完后状态恢复到Connecting状态(see below) ,点击 Disconnect键,断开连接,关闭SVCCON的窗口。 E、将日志文件发给IBM工程师。 二、通过 SMBridge 工具收集日志 1、下载SMBridge工具osa_utl_smbr_2.0.17.1_anyos_anycpu.zip https://www.doczj.com/doc/143091971.html,/jct01004c/systems/support/supportsite.wss/ docdisplay?lndocid=MIGR-64636&brandind=5000008 2、设置服务器BMC的IP地址和终端(有网卡和windows操作系统的机器 都可以)的IP地址 A、BMC 管理端口共享的是服务器主板上面的第一个网络口(NIC Port 1), 缺省的模式是enable的,默认IP是10.1.1.97;子网掩码是255.255.255.0。 网络设置可以通过下面的方法去核实或设置:在F1 Setup under Advanced Setup-> Baseboard Management Controller (BMC) Settings -> BMC Network Configuration (see below): (IP地址也可以根据USER的实际情况进行更改,这里没有做强制要求)
基于Flume的美团日志收集系统(一)架构和设计
Agent 丰 富程度提供丰富的Agent,包括avro/thrift socket, text, tail等 主要是thrift端口 Store丰富程度可以直接写hdfs, text, console, tcp;写 hdfs时支持对text和sequence的压 缩; 提供buffer, network, file(hdfs, text)等 代码结构系统框架好,模块分明,易于开发代码简单 3 美团日志收集系统架构 美团的日志收集系统负责美团的所有业务日志的收集,并分别给Hadoop平台提供离线数据和Storm平台提供实时数据流。美团的日志收集系统基于Flume设计和搭建而成。目前每天收集和处理约T级别的日志数据。 下图是美团的日志收集系统的整体框架图。 a. 整个系统分为三层:Agent层,Collector层和Store层。其中Agent层每个机器部署一个进程,负责对单机的日志收集工作;Collector层部署在中心服务器上,负责接收Agent 层发送的日志,并且将日志根据路由规则写到相应的Store层中;Store层负责提供永久或者临时的日志存储服务,或者将日志流导向其它服务器。 b. Agent到Collector使用LoadBalance策略,将所有的日志均衡地发到所有的Collector上,达到负载均衡的目标,同时并处理单个Collector失效的问题。 c. Collector层的目标主要有三个:SinkHdfs, SinkKafka和SinkBypass。分别提供离线的数据到Hdfs,和提供实时的日志流到Kafka和Bypass。其中SinkHdfs又根据日志量的大小分为SinkHdfs_b,SinkHdfs_m和SinkHdfs_s三个Sink,以提高写入到Hdfs的性能,具体见后面介绍。 d. 对于Store来说,Hdfs负责永久地存储所有日志;Kafka存储最新的7天日志,并给Storm 系统提供实时日志流;Bypass负责给其它服务器和应用提供实时日志流。
监控系统试运行记录 工程名称桐庐县中医院改扩建工程(智能工程) 所属子分部(系统)/分 项(子系统)工程名称 监控 系统所在部位、区、段桐庐县中医院 试运行日期由2016年2月至2016年3月试运行负责人项志微施工单位浙江威星电子系统软件有限公司项目负责人娄金成施工执行标准名称及编号GB50339-2003 记录时间试运行情况及备注值班人(记录) 签名 年月日时分系统运行正常2016月2月17日08:00 系统运行正常2016月2月18日08:00 系统运行正常2016月2月19日08:00 系统运行正常2016月2月20日08:00 系统运行正常2016月2月21日08:00 系统运行正常2016月2月22日08:00 系统运行正常2016月2月23日08:00 系统运行正常2016月2月24日08:00 系统运行正常2016月2月25日08:00 系统运行正常2016月2月26日08:00 系统运行正常2016月2月27日08:00 系统运行正常2016月2月28日08:00 系统运行正常2016月3月1 日08:00 系统运行正常2016月3月2 日08:00 系统运行正常2016月3月3 日08:00 系统运行正常2016月3月4 日08:00 系统运行正常2016月3月5 日08:00 系统运行正常2016月3月6 日08:00 系统运行正常2016月3月7 日08:00 系统运行正常2016月3月8 日08:00 系统运行正常2016月3月9 日08:00 系统运行正常2016月3月10日08:00 系统运行正常 安装单位检查评论结 果专业长工(施工员)项志微施工班组长 检测调试人员 项目专业质量检查员:年月日 建设单位验收结论 建设单位项目专业技术负责人:年月日
四川长虹电器股份有限公司 虹微公司管理文件 应用系统安全日志标准 ××××–××–××发布××××–××–××实施 四川长虹虹微公司发布
目录 1概况 (3) 1.1目的 (3) 1.2适用范围 (3) 2正文 (3) 2.1总体原则 (3) 2.2通用要求 (4) 2.2.1登录日志 (4) 2.2.2用户管理日志 (4) 2.2.3角色/权限管理日志 (5) 2.2.4系统配置操作 (6) 2.3应用数据操作日志 (7) 2.3.1业务敏感信息操作日志 (7) 3检查计划 (8) 4解释 (9) 5附录 (9)
1概况 1.1目的 为接入到日志集中管理平台内的应用系统的安全日志记录要求提供参考,以便和第三方日志集中管理平台进行对接,满足日志集中管理项目需求 1.2适用范围 公司所有业务系统 2正文 2.1总体原则 1)所有应用系统应记录根据本规范记录通用类日志,具体见2.2所述; 2)所有应用系统应记录系统中的各类敏感信息记录操作日志,具体见2.3所述; 3)研发人员需要根据本规范要求(本规范中的字段命名以及表名供参考),对安全日志进行统一格式设计及输出; 4)本文档标注为*的字段表示如无法获取此字段,则不要求记录。 5)关于日志存储的方案,优先采用文本文件的形式存储在本地磁盘,其次可以选择存储在数据库; 6)日志的保存策略,默认为3+1天,滚动式的存储; 7)在采用文本文存储日志在本地磁盘时,需统一放至: /app/applogs/${instance}/auditlog目录下,日志文件名的格式如:audit_日期_数字编号.log,例如:audit_20150722_1.log; 8)文本文件存储的日志格式如下: 日志类型\u0000版本号\u0000字段1值\u0000字段2值...字段n值\u0000\r 示例:(以一条登录日志为例) 1\u00001\u00002007-08-28 00:52:10\u0000157556\u0000CAS\u0000BSP\u000010.0.22.33\u000010.0.13.38\u0000主机名(自定义)\u000000:15:C5:79:7E:F7\u0000013\u0000Success\u0000\u0000\r 具体说明: a.各字段由不可见字符\u0000进行分隔; b.日志记录以\u0000\r结束; c.如果某个字段的值为空,或者没有值,分隔符\u0000不可省略,照常输出; d.不同类型的日志都有各自的日志类型和版本号,具体见各日志章节的说明;
Linux 系统日志收集分析系统 一、搭建环境 系统:centos6.5 软件:lamp、rsyslog、rsyslog-mysql 、loganalyzer rsyslog用来收集远程服务器系统日志信息 rsyslog-mysql是rsyslog连接数据库的模块 loganalyzer用来分析系统日志 二、软件安装 a、httpd安装 tar -jxvf apr-1.5.1.tar.bz2 ./configure --prefix=/usr/local/apr make && make install tar -zxvf apr-util-1.5.4.tar.gz ./configure --prefix=/usr/local/apr-util --with-apr=/usr/local/apr/ make && make install tar -zxvf httpd-2.4.12.tar.gz yum install -y pcre-devel zlib-devel openssl-devel ./configure --prefix=/data/program/apache2 --enable-so --enable-rewrite --enable-ssl --enable-cgi --enab le-cgid --enable-modules=most --enable-mods-shared=most --enable- mpms-share=all --with-apr=/usr/local/apr --with-apr-util=/usr/local/apr-util --enable-deflate make -j 6 && make install ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ 修改httpd配置文件,添加如下两行 AddType application/x-httpd-php .php AddType application/x-httpd-php-source .phps 定位至DirectoryIndex index.htm DirectoryIndex index.php index.html 注释掉主服务的站点目录 #DocumentRoot "/data/program/apache2/htdocs" 开启虚拟主机需要加载 Include conf/extra/httpd-vhosts.conf LoadModule log_config_module modules/mod_log_config.so 添加虚拟主机
点击文章中飘蓝词可直接进入官网查看 服务器日志监控 服务器日志监控是用来分析和审计日志的系统管理软件,服务器日志监控能够对主机、服 务器、网络设备、数据库以及各种应用服务系统等产生的日志,进行收集和细致分析,通过统 一的控制台进行实时可视化的呈现。服务器日志监控帮助IT管理员从海量日志数据中准确查找关键有用的事件数据,准确定位网络故障并提前识别安全威胁,从而降低系统宕机时间、提升 网络性能、保障企业网络安全。如何选择服务器日志监控系统? 无论是大型还是小型企业,监控内部网络活动已成为其主要要求。要保护网络安全以防范 泄露和威胁,各企业需要采取积极的措施来保证其网络和数据的安全性。监控事件日志用准确 的方式来检测网络异常、数据泄露尝试及跟踪网络入侵者。 审计数据采集是整个系统的基础,为系统审计提供数据源和状态监测数据。对于用户而言,采集日志面临的挑战就是:审计数据源分散、日志类型多样、日志量大。为此,系统综合采用 多种技术手段,充分适应用户实际网络环境的运行情况,采集用户网络中分散在各个位置的各 种厂商、各种类型的海量日志。 分析引擎对采集的原始数据按照不同的维度进行数据的分类,同时按照安全策略和行为规 则对数据进行分析。系统为用户在进行安全日志及事件的实时分析和历史分析的时候提供了一 种全新的分析体验——基于策略的安全事件分析过程。用户可以通过丰富的事件分析策略对安全事件进行多视角、大跨度、细粒度的实时监测、统计分析、查询、调查、追溯、地图定位、 可视化分析展示等。 管理平台是安全审计的Web管理平台,包含了安全审计平台的管理功能和信息发布管理功能。提供了强大的日志综合审计功能,为不用层级的用户提供了多视角、多层次的审计视图。 系统提供全局监视仪表板、实时审计视图、内置或自定义策略的统计视图、日志查询和报表管 理功能,支持日志的模糊查询和自定义报表。 南京风城云码软件技术有限公司是获得国家工信部认定的“双软”企业,具有专业的软件 开发与生产资质。多年来专业从事IT运维监控产品及大数据平台下网络安全审计产品研发。开
系统日志检查管理 一.对各项操作均应进行日志记录,内容应包括操作人、操作时间和操作内容等详细信息。各级维护部门维护人员应每日对操作日志、安全日志进行审查,对异常事件及时跟进解决,并每周形成日志审查汇总意见报上级维护主管部门审核。安全日志应包括但不局限于以下内容: 1、对于应用系统,包括系统管理员的所有系统操作记录、所有的登录访问记录、对敏感数据或关键数据有重大影响的系统操作记录以及其他重要系统操作记录的日志; 2、对于操作系统,包括系统管理员的所有操作记录、所有的登录日志; 3、对于数据库系统,包括数据库登录、库表结构的变更记录。二、系统的日常运行维护由专人负责,定期进行保养,并检查系统运行日志。 1.对于应用程序级别的备份需要有运维部制定工程师做每周的备份,重大变更前要整体做备份。 2.对于操作系统的日志备份要通过定制计划任务定期执行,并有制定人员检查运行情况,并登记在案。 3.对于数据库系统的日志备份有DBA制定计划任务定期执行,并有DBA人员检查运行情况,并登记在案。 三. 各级维护部门应针对所维护系统,依据数据变动的频繁程度以及
业务数据重要性制定备份计划,经过上级维护主管部门批准后组织实施。 四. 备份数据应包括系统软件和数据、业务数据、操作日志。 五.重要系统的运行日志要定期异地备份。 说明:出在本地备份,每天晚上同步到异地机房。 六.对系统的操作、使用要进行详细记录。 七.各级维护部门应按照备份计划,对所维护系统进行定期备份,原则上对于在线系统应实施每天一次的增量备份、每月一次的数据库级备份以及每季度一次的系统级备份。对于需实施变更的系统,在变更实施前后均应进行数据备份,必要时进行系统级备份。 八. 各级维护部门应定期对备份日志进行检查,发现问题及时整改补救。 备份操作人员须检查每次备份是否成功,并填写《备份工作汇总记录》,对备份结果以及失败的备份操作处理需进行记录、汇报及跟进。 九.备份介质应由专人管理,与生产系统异地存放,并保证一定的环境条件。除介质保管人员外,其他人员未经授权,不得进入介质存放地点。介质保管应建立档案,对于介质出入库进行详细记录。对于承载备份数据的备份介质,应确保在其安全使用期限内使用。对于需长期保存数据,应考虑通过光盘等方式进行保存。对于有安全使用期限限制的存储介质,应在安全使用期限内更换,确保数据存储安全。
日志审计管理系统需求说明书 一、总体要求 ?支持对主流操作系统、数据库系统、应用软件系统、网络设备、安全设 备进行自动采集。 ?支持SYSLOG和OPSEC LEA标准日志协议,能通过代理收集日志文件, 并将日志统一格式化处理。 ?对采集的日志可分类实时监控和自动告警。 ?对收集的日志信息可按日志所有属性进行组合查询和提供报表。 ?能按日志来源、类型、日期进行存储,支持日志加密压缩归档。 ?不影响日志源对象运行性能和安全。 ?操作简便直观,可用性好。 二、具体要求 2.1日志收集对象要求
用户可根据自己的需求很容易定制开发新的日志收集代理。 2.2 日志收集方式要求 需要支持的协议有syslog、snmp trap、windows log、checkpoint opsec、database、file、xml、soap等等。 ?主动信息采集 对路由器、交换机、防火墙、VPN、IDS/IPS等网络设备的日志采集支持采用SYSLOG(UDP514)和OPSEC LEA协议形式自动采集。 ?日志文件采集 支持本地系统平台上通过安装Agent采集日志文件中的日志信息。 ?性能状态探测 能获取系统平台的CPU、内存、端口使用率、应用的响应时间、进程数、TCP连接数、负载等性能参数。 2.3日志分析功能要求 2.3.1告警功能 ?支持对紧急、严重日志进行自动报警,可自定义需报警的日志类型。 ?监控台支持对收集的全部日志进行分类实时监控。 ?应该能够将各种不同的日志格式表示为统一的日志数据格式。且统一格 式时不能造成字段丢失。 ?能自动对各种类型的日志进行实时分析,并能将紧急、严重的事件日志 通过设备远程主控台、短信、邮件、电话语音提示等方式向管理员发送 实时告警消息,支持自定义报警日志的类型。 ?通过对网络设备及系统平台的性能状态、安全访问、异常事件产生的日
操作系统实验日志 一、实验主要内容 1、制作真正的IPL,即启动程序加载器,用来加载程序。 添加的代码关键部分如下: MOV AX,0x0820 MOV ES,AX MOV CH,0 ;柱面0 MOV DH,0 ;磁头0 MOV CL,2 MOV AH,0x02 ;AH=0x02:读盘 MOV AL,1 ;执行1个扇区 MOV BX,0 MOV DL,0x00 ; A驱动器(现在都只有一个驱动器了) INT 0x13 ;调用磁盘BIOS JC error 这里有JC指令,是一些特定指令中的一种,后面知识点收录有。JC就是jump if carry,如果进位标志位1的话,就跳转。就是成功调用0x13就会跳转到error处。 INT 0x13又是一个中断,这里AH是0x02的时候是读盘的意思,就是要把磁盘的内容写入到内存中。今天实验用到了4个软中断,都记在知识点里了。 至于CH\DH\CL\AL三个寄存器呢,就分别是柱面号、磁头号、扇区号、执行的扇区数。那么含有IPL的启动区位于:C0-H0-S1 (Cylinder, magnetic Head, Sector) 然后ES\BX和缓冲地址有关。
2、缓冲区地址0x0820 MOV AL,[ES:BX] ; ES*16+BX -> AL 说是原来16位的BX只能表示0~65535,后来就引入了一个段寄存器,用MOV AL,[ES:BX] ; ES*16+BX -> AL这样的方法就可以表示更大的地址,就够当时用了,可以指定1M内存地址了。那么这里我们就是将0X0820赋值给ES,BX为0,这样ES*16后就访问0X8200的地址,那么就是讲软盘数据转载到0X8200到0X83ff的地方。 3、试错以及读满10个柱面 MOV AX,0x0820 MOV ES,AX MOV CH,0 MOV DH,0 MOV CL,2 readloop: MOV SI,0 ; 记录失败的次数,SI达到5就停止 retry: MOV AH,0x02 MOV AL,1 MOV BX,0 MOV DL,0x00 INT 0x13 JNC next ; 没出错就跳到next ADD SI,1 ; SI加一 CMP SI,5 ; SI和5比较 JAE error ; SI >= 5 时跳转到error MOV AH,0x00 MOV DL,0x00 INT 0x13 ; 重置驱动器,看上面AH变为0X00和0X02功能不同 JMP retry next: