第12节 Kali Linux系统日志管理及日志备份服务器

已于 2022-07-01 03:09:34 修改
阅读量8.5k 收藏 25
点赞数 5
分类专栏: # 筑基03:Linux系统及服务器 文章标签: linux 服务器 运维
于 2022-01-22 12:18:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Fighting_hawk/article/details/122633157
版权

目录

1 日志概述

1.1 日志的分类

  1. 不同版本的系统对各日志存放路径及文件名不尽相同,Linux系统常用日志分类及其保存路径如下:
    • /var/log/secure与安全相关的日志信息;
    • /var/log/maillog与邮件相关的日志信息;
    • /var/log/cron与定时任务相关的日志信息;
    • /var/log/spooler与UUCP和news设备相关的日志信息;
    • /var/log/boot.log守护进程启动和停止相关的日志消息。
  2. 打开kali终端编辑器,cd进入到log目录下,查看有哪些日志文件。
    在这里插入图片描述
  3. 使用命令 cat /var/log/文件名 查看系统日志内容。

1.2 日志管理服务 rsyslog

  1. 作用:主要用来管理日志采集。
  2. 日志管理服务配置文件文件存放在/etc目录下。
  3. 使用命令 vim /etc/rsyslog.conf 打开日志管理配置文件并编辑。
  4. 配置文件中主要有以下内容:
    • 规定是否开放TCP或UDP以及其端口号;
    • 规定全局指示,包括时间戳、对所有日志设置默认权限、指定脱机与状态文件目录、指定所有配置文件所在目录/etc/rsyslog.d/。
    • 规定哪些服务哪些级别的日志保存到哪个文件中。
    • 内容如下:
# /etc/rsyslog.conf configuration file for rsyslog
#
# For more information install rsyslog-doc and see
# /usr/share/doc/rsyslog-doc/html/configuration/index.html


#################
#### MODULES ####
#################

module(load="imuxsock") # provides support for local system logging
module(load="imklog")   # provides kernel logging support
#module(load="immark")  # provides --MARK-- message capability

# provides UDP syslog reception
#module(load="imudp")
#input(type="imudp" port="514")

# provides TCP syslog reception
#module(load="imtcp")
#input(type="imtcp" port="514")


###########################
#### GLOBAL DIRECTIVES ####
###########################

#
# Use traditional timestamp format.
# To enable high precision timestamps, comment out the following line.
#
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat

#
# Set the default permissions for all log files.
#
$FileOwner root
$FileGroup adm
$FileCreateMode 0640
$DirCreateMode 0755
$Umask 0022

#
# Where to place spool and state files
#
$WorkDirectory /var/spool/rsyslog

#
# Include all config files in /etc/rsyslog.d/
#
$IncludeConfig /etc/rsyslog.d/*.conf


###############
#### RULES ####
###############

#
# First some standard log files.  Log by facility.
#
auth,authpriv.*                 /var/log/auth.log
*.*;auth,authpriv.none          -/var/log/syslog
#cron.*                         /var/log/cron.log
daemon.*                        -/var/log/daemon.log
kern.*                          -/var/log/kern.log
lpr.*                           -/var/log/lpr.log
mail.*                          -/var/log/mail.log
user.*                          -/var/log/user.log

#
# Logging for the mail system.  Split it up so that
# it is easy to write scripts to parse these files.
#
mail.info                       -/var/log/mail.info
mail.warn                       -/var/log/mail.warn
mail.err                        /var/log/mail.err

#
# Some "catch-all" log files.
#
*.=debug;\
        auth,authpriv.none;\
        mail.none               -/var/log/debug
*.=info;*.=notice;*.=warn;\
        auth,authpriv.none;\
        cron,daemon.none;\
        mail.none               -/var/log/messages

#
# Emergencies are sent to everybody logged in.
#
*.emerg                         :omusrmsg:*

1.3 日志事件级别划分

  1. CentOS系统中,可以查询命令 man rsyslog.conf 获得日志事件级别划分内容,在Kali中暂未找到相关内容。
  2. 级别:
    • debug:有调试信息的,日志通信最多
    • info:一般信息日志,最常用
    • notice:最具有重要性的普通条件的信息
    • warning:警告级别
    • err:错误级别,阻止某个功能或者模块不能正常工作的信息
    • crit:严重级别,阻止整个系统或者整个软件不能正常工作的信息
    • alert:需要立刻修改的信息
    • emerg:内核崩溃等重要信息
    • none:什么都不记录

2 日志攻防

2.1 攻击:远程登录服务器并删除日志

  1. 攻击者可以通过Telnet或SSH等方式远程登录服务器;
  2. 登录后将其登录日志删除,如采用 echo “” > /var/log/secure 等命令。
  3. 服务器管理员无法根据日志内容 cat /var/log/secure 判断是否被远程操控。

2.2 防御:建立日志备份服务器

  1. 对于需要备份日志的服务器,如WEB服务器等,需要完成以下操作:
    • 在/etc/rsyslog.conf中定义什么服务什么级别的日志要发,以什么协议发给哪个IP哪个端口。如authpriv.* @@192.168.1.1:514表示将登录服务的所有级别日志以TCP协议发给192.168.1.1的514端口。
    • 关闭防火墙对数据的拦截或加密;
    • 重启服务 service rsyslog restart
  2. 对于日志备份服务器,需要完成以下操作:
    • 在/etc/rsyslog.conf中定义以什么协议接收哪个端口日志、定义接收谁的日志存放到哪。 :fromhost-ip, isequal, “192.168.1.200” /var/log/client/192.168.1.200.log ,其中第一句表述的是客户机的IP地址,后一句描述的是日志存放目录。
    • 重启服务: service rsyslog restart
    • 查询开启端口: ss -antpl | grep 514 ,其中ss表示查询已开启端口号、a表示所有、n表示??、t表示TCP协议、p表示pid进程、l表示监听状态、grep 514表示按514过滤。
    • -an是端口查询命令,tp表示TCP协议,l表示以行显示,grep是根据后面的端口号过滤。

3 总结

  1. 掌握日志的存放位置;
  2. 了解日志的级别;
  3. 了解日志管理服务的配置方法;
  4. 了解日志备份服务器的部署方法。

4 参考文献

  1. Linux系统日志管理
  2. 千锋CentOS设置日志备份服务器视频教程
Fighting_hawk
关注
专栏目录
如何使用Mondo Rescue备份及恢复Linux系统(制作ISO镜像,成功恢复)
本博客,博文仅代表个人操作经验,不能完全解决你的问题,仅供参考,佛系回复。
11-20 2846
PVE 虚拟机。
最新kali之smbclient
vanony的博客
01-23 760
描述:   类似于ftp的客户端,用于访问服务器上的SMB / CIFS资源。   这个工具是samba(7)套件的一部分。   smbclient是可以与SMB / CIFS服务器“对话”的客户端。 它提供的接口类似于ftp程序的接口(请参阅ftp(1))。 操作包括诸如从服务器将文件获取到本地计算机,将文件从本地计算机放置到服务器,从服务器获取目录信息之类的事情。 选项: Servicename servicename是要在服务器上使用的服务的名称。 服务名称的格式为// server / servi
Kali系统加固
weixin_46183247的博客
11-08 274
Kali Linux是一个流行的渗透测试和安全审计操作系统,用于测试和评估计算机系统的安全性。加固Kali Linux系统是非常重要的,以确保其在进行渗透测试和安全审计时能够有效和安全地工作。以下是加固Kali Linux系统的一些关键方面:1,用脚本和cron实现定期每周日更新:确保Kali Linux系统的软件包和操作系统内核保持最新状态,以修补已知的安全漏洞。使用apt update和apt upgrade命令进行更新。
kali虚拟机设置SSH登录/更新/永久修改为root
Snow_python的博客
12-03 665
首先cd /etc/ssh 查看配置文件,然后ls 将ssh_config文件备份 cp ssh_config ssh_config.bak vim ssh_config文件 将下面一行注释去掉 修改文件vim sshd_config 将PermitRootLogin no 修改为PermitRootLogin yes 启动ssh服务 service ssh restart kali更新 直接更新,无需修改到国内源,速度依旧很快 sudo apt-get update 更新软件包列表信息
服务器日志异地备份
最新发布
qq_37192122的博客
07-15 348
为了项目安全需要做服务器nginx日志异地备份。以上就可以实现日志的异地备份
kali 日志
weixin_30633949的博客
03-23 279
MAC协议安全攻防 kali 攻击 输入 macof -i eth0 -i 选择网卡 防御使用交换机的安全特性 Port Security DCRS 需要开启 mac地址表学习使用cpu控制 mac-address-learning cpu-control 在端口上开启 switchport mode access 开启access模式 开启端口安全 (必选) s...
Kali手记
生活在别处
05-21 3348
kali2.0安装或使用liveCD 大白菜/老毛桃官网下载U盘启动工具并设置U盘可以启动。 去kali官网下载iso文件: https://www.kali.org/ 在U盘任一分区的根目录下建立LMT文件夹,将iso文件放在LMT目录下;并且将iso文件解压缩之后的文件(不是解压后自动生成的那个文件夹,而是那个文件夹下的所有文件)放到U盘任一分区的根目录下。 电脑开机选择U盘启动,然后选择菜单
Kali学习/错误日志
weixin_48103000的博客
10-09 175
但是后面下载win11的时候需要自定义一些东西(b站有教程:核设置为6,内存90G,添加可信任模块,加密机子。),并且不能使用推荐选项,因为vm还没更新到有win11的版本,所以安装win11时其实是按win10的配置去走的,会导致无法运行。----这是最重要的一部分,基本针对信息收集的内容占据了整个hacking流程一半的部分。基本上都是我物理植入的(这里意思机子都是准备好的肉机)到机子里,还有提权的一些操作。nmap是扫描端口信息的工具,arpspoof是伪装中间件截取信息的工具,等等。
Kali与编程:安装好KALI系统后,如何快速做好Kali Linux系统备份
Kali与编程
06-08 914
1、系统出现故障时,重新安装是很耗时的,此时做系统备份是很有必要的,当出现故障时,我们可以重新回滚到正常状态,无需重新安装,方便又省时。虚拟机良心地给我们提供快照和克隆两种系统备份方法。2、快照【开机状态下操作】 (1)虚拟机–快照–拍摄快照 (2)给快照取名 (3)关注左下角进度条,达到100%即完成 (4)进入快照管理器,使用快照 3、克隆【关机状态下操作】 (1)虚拟机–管理–克隆(2)默认操作 (3)生成了一个一模一样的Kali克隆,如果原有Kali坏了,我们直接打开克隆机器就可正常使用! 点我学习
linux日志备份管理
qq_39071309的博客
12-28 1678
目录(一)日志管理1.1 日志服务1.2 常见日志作用1.3 rsyslogd日志服务1.3.1 /etc/rsyslog.conf配置文件1.4 日志轮替1.4.1 日志文件命名规则1.4.2 logrotate配置文件1.4.3 logratate命令(二) 启动管理 (一)日志管理 1.1 日志服务 #确认日志服务是否启动 ps aux | grep rsyslogd #查看服务是否自启动 chkconfig --list | grep rsyslog 1.2 常见日志作用 除了系统默认的日
1.10 Linux系统的日志管理
黑羽冰音的博客
01-22 177
两种日志查看方式 系统时间设定 NTP时间同步协议与chrony时间同步服务.
网络安全之—Kali Linux基本命令大全
Jay
12-23 2586
系统信息 arch 显示机器的处理器架构(1) uname -m 显示机器的处理器架构(2) uname -r 显示正在使用的内核版本 dmidecode -q 显示硬件系统部件 - (SMBIOS / DMI) hdparm -i /dev/hda 罗列一个磁盘的架构特性 hdparm -tT /dev/sda 在磁盘上执行测试性读取操作 cat /proc/cpuinfo 显示CPU info的信息 cat /proc/interrupts 显示中断 cat /proc/meminfo 校验内存使用 c
Linux系统操作引导过程和启动故障排除
qq1356059950的博客
04-05 728
Linux系统操作引导过程和启动故障排除前言一、引导过程讲解1、开机自检(bios)2、MBR引导3、GRUB菜单4、加载Linux内核5、init进程初始化6、init和systemd(1)init进程(2)systemdsystemd单元类型 前言 系统引导是系统启动的开始,是将操作系统内核载入内存并启动的过程。在用户正常登录到Linux之前,他的引导过程完成了一系列的初始化任务并加载一些必要的程序和命令。 一、引导过程讲解 Linux引导过程一般分为以下几个步骤 1、开机自检(bios) 服务器主机
[网络安全自学篇] 六十.Cracer第八期——(2)五万字总结Linux基础知识和常用渗透命令
热门推荐
杨秀璋的专栏
03-19 1万+
作为Web渗透的初学者,Linux基础知识和常用命令是我们的必备技能,本文详细讲解了Linux相关知识点及Web渗透免了高龄。如果想玩好Kali或渗透,你需要学好Linux及相关命令,以及端口扫描、漏洞利用、瑞士军刀等工具。安全领域通常分为网络安全(Web渗透)和系统安全(PWN逆向)两个方向。非常基础的一篇文章,希望能够帮助到您!
kali使用记录
whatday的专栏
07-08 1166
1.滚动更新后所有的字体都显示的空白方块 解决新版KaLi字体叠加错位 因为新版KaLi没有集成一些中国常用的字体,所以需要加入到KaLi才能正常显示。可选择直接安装字体和KaLi的字体替换 apt-get install ttf-wqy-microhei ttf-wqy-zenhei xfonts-wqy   2.安装VMware Tools 修改/etc/apt/source.list...
kali自动化清理缓存和日志
abg49988的博客
09-23 1024
  前几天发现kali无法正常开机,启动盘启动进去之后,   发现/var/log/目录下的日志文件太大把硬盘占满了,于是乎... 文件主要是这三个: kern.log : 包含内核产生的日志,有助于在定制内核时解决问题 messages:包括整体系统信息,其中也包含系统启动期间的日志。      此外,mail,cron,daemon,kern和auth等内容也记...
Kali下Chainsaw(电锯)生成windows日志报告
wlopghost的博客
03-23 475
kali下的chainsaw命令行
Linux 日志查看
孤的博客
09-18 6843
日志文件查看 Linux系统的所有日志文件都保存在 /var/log 目录下 常用命令: cat   显示整个文本 head   从文件的头部开始查看,head命令一般用于查看一个文本文件的开头部分 tail   tail命令默认在屏幕上显示指定文件的末尾10行 last   用于显示近期用户或终端的登录情况 查看最近的历史命令记录: history 查看系统的日志信息: gu@kali:...
kali 系统使用记录
Ice_cap1995的专栏
04-25 594
机器:联想小新air12   系统:kali4.15.0-kali2-amd64 #1 SMP Debian 4.15.11-1kali1 (2018-03-21) x86_64 GNU/Linux1、安装过程:网上教程一堆,略2、配置apt-get源(网上教程一堆),采用阿里的源,网速还可以cp /etc/apt/soure.list /etc/apt/soure.list.bak vim ...
kali linux系统
03-16
Kali Linux是一种基于Debian的Linux发行版,专门用于渗透测试和网络安全评估。它包含了大量的安全工具,如Metasploit、Nmap、Wireshark等,可以用于测试网络的漏洞和安全性。Kali Linux还提供了一个友好的界面和易于使用的工具,使得渗透测试和安全评估变得更加简单和高效。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值