- 论坛徽章:
- 26
|
1.请举例说明CLI方式下如何分析系统日志?
公司有人发到对方的邮件对方收不到,查找原因:
(1)、先在邮件服务器上找到这个人的这封邮件编号
grep honghwa /var/log/maillog
.....................
Feb 2 08:53:09 mail policyd: rcpt=2178, module=bypass, host=221.24.3.26 (unknown), from=sten.si@oase-lngwater.cn, to=honghwa@shannat.com.cn, size=6746
Feb 2 08:53:27 mail amavis[28200]: (28200-10) Passed CLEAN, LOCAL [221.24.3.26] [221.224.3.26] <Sten.Si@oase-lngwater.cn> -> <honghwa@shannat.com.cn>, Message-ID: <5976FF65031D8B488DBE2412DB4D0E5D065A1FE8@OTC-EX.cn.pumpen.com>, mail_id: JIEOTXpMNwH2, Hits: 0.468, size: 6907, queued_as: 3E2D2C0EB5, 17726 ms
Feb 2 08:53:27 mail postfix/smtp[30364]: 35FF4C0E1A: to=<honghwa@shannat.com.cn>, relay=127.0.0.1[127.0.0.1]:10024, delay=21, delays=2.8/0/0/18, dsn=2.0.0, status=sent (250 2.0.0 from MTA([127.0.0.1]:10025): 250 2.0.0 Ok: queued as 3E2D2C0EB5)
Feb 2 08:53:27 mail postfix/pipe[30390]: 3E2D2C0EB5: to=<honghwa@shannat.com.cn>, relay=dovecot, delay=0.62, delays=0.06/0.04/0/0.53, dsn=2.0.0, status=sent (delivered via dovecot service)
(2)、查找与这封邮件有关的所有日志
[root@mail log]# grep 41441C0E1A 、/var/log/maillog
Feb 2 08:36:25 mail postfix/smtpd[28589]: 41441C0E1A: client=unknown[58.11.62.43], sasl_method=LOGIN, sasl_username=honghwa@shannat.com.cn
Feb 2 08:36:25 mail postfix/cleanup[28453]: 41441C0E1A: message-id=<007e01d03e82$ff771810$fe654830$@shannat.com.cn>
Feb 2 08:36:25 mail postfix/qmgr[13975]: 41441C0E1A: from=<honghwa@shannat.com.cn>, size=8390, nrcpt=1 (queue active)
Feb 2 08:36:28 mail postfix/smtp[28462]: 41441C0E1A: to=<nishio@seid.arrsha-world.com>, relay=127.0.0.1[127.0.0.1]:10024, delay=3.5, delays=0.08/0/0/3.4, dsn=2.0.0, status=sent (250 2.0.0 from MTA([127.0.0.1]:10025): 250 2.0.0 Ok: queued as 8EE22C0EB5)
Feb 2 08:36:28 mail postfix/qmgr[13975]: 41441C0E1A: removed
(3)、再分析问题,(上面的是没问题的)
现在的公司是制造业,领导对安网络方面不懂,公司的服务器不是也很多,对于网络安全上的投入比较少,都是用开源的系统做的。用rsyslog+loganalyzer做为集中日志系统与查找与分析工具,监控是用nagios与cacti做成的,用来监视网络中流量与设备的性能等。在win下收集日志就是与rsyslog对应的evtsys,以用与nagios用的mk_check agent做为收集信息。
在实际的工作中要用到日志的地方,还是不多的,只是有时稍微看看,一般不出现问题都不查看。出现了问题或收到报警时才来来查看与找解决方法,公司日志只存了一个月,过时自动删除。这个要与各公司的情况与安全来决定的,很难说到底要保存多久,要不要删除。
曾在李老师的《Linux企业应用案例精解》中看到了关于OSSIM平台的安装,了解了一下,还没有动手实践,有空再试试。OSSIM是一个完整的开源安全架构体系。OSSIM通过将开源产品进行集成,从而提供一种能够实现安全监控功能的基础平台。 |
|