[RHCE笔记3-7]System Monitoring

zhangwei401

                                System monitoring includes:
    .File system monitoring
    .Log file analysis
    .Process monitoring
File system  Analysis
    .Utilities: df , du , logwatch
监控SUID SGID
    查找设置了SUID或SGID的文件
    #find / type -f -perm +6000  /* +表示有1即可 -表示缺1不可*/
    重新mount /目录 （忽略suid 则带有suid权限的文件失效）
    #mount -o remount,nosuid /
监控有问题的权限
    1.查找没有owner的文件
    #find / -nouser
    把没有owner的文件移交给root或删除
    #find / -nouser -exec chown root:root {} \;
    #find / -nouser -exec rm -rf {} \;
    2.other组具有writer权限（o+w）
    #find / -type f -perm -2 (只查找:0+x)
    #find / -type f -perm -22(查找:g+x  0+x)
    #find / -type f -perm -22(查找:u+x g+x  0+x)
     #find / -type d -perm -2 (查找目录)
监控EXT2/3 Filesystem的特殊属性（Attributes）
    显示文件的特殊属性
    #lsattr
    设置文件的特殊属性
    #chattr +|-|=attributes  /* + -或= 文件的特殊属性 */
    主要的特殊属性有以下几种：
       .A file被修改时，不修改atime
        .a file只能被附件内容，原有内容不能修改或覆盖（root only）
        .d 使用dump命令备份时，不备份此文件
        .i file不能被修改 删除和rename（root only）
        .j 将文件记录到ext3的journal里（root only）
        .S 文件被修改时候立即同步硬盘，不经过磁盘缓存
    #chattr +i hacker /* 文件hacker添加i属性 */
    #chattr -i hacker /* 文件hacker删除i属性 */
监控System Log Files
    需要监控的log fle
        ./var/log/messages (记录大多数的系统信息)
        ./var/log/secure   (记录验证信息及xinetd服务信息)
        ./var/logvsftpd.log   
        ./var/mail.log
        ..................
    记录Log的服务主要有两种：
       .syslogd
        .klogd
    syslogd klogd的配置文件为 /etc/syslog.conf
    #vi /etc/syslog.conf
       .....
        authpriv.*            /var/log/secure
        mail.*                -/var/log/maillog ("-"表示log先存到buffer然后再存入磁盘)
        .....
    syslogd高级配置
       .运算符(operators)
            mail.info
               .表示记录info及以上的等级
            mail.=info
                .=表示只记录mail服务的info等级
            mail.=!iinfo
               .=!表示mail服务除了info等级的其他等级都记录
            mail,cron.info
              ,表示记录mail和cron服务的info等级信息(","分隔多个服务)  
        .log文件的存放目标(可存储在远端机器上)
            #vi /etc/syslog.conf
                authpriv.*        @host_ipaddress
            #vi /etc/sysconfig/syslog (添加-r选项接受远端syslog)
                SYSLOGD_OPTIONS="-r -m 0"
        **syslog设置参考【RCHE笔记syslog】
    Log文件分析
        分析工具logwatch 分析log文件是否有异常
       存放在/etc/cron.daily/00-logwatch 每天执行一次，最好没小时执行一次
   
    监控正在执行的程序（Monitoring Process）
        监控工具： top gnome-system-monitor/kpm sar等
    SAR系统运行报表
        #vi /etc/cron.d/sysstat
            */10 * * * *  root /usr/lib/sa/sa1 1 1 (没10分钟运行一次sa1搜集信息)
            52 23 * * *    root /usr/lib/sa/sa2 -A (每天运行sa2把sa1搜集的信息整理成报表)
       报表存放位置：/var/log/sa目录下
            
   
               
               
               
               
               
               
               

本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u2/75132/showart_1106163.html