syslogd服务的使用

最近整个产品族在推行虚拟机技术。因为我们产品使用的单板的功能和内存都比较强大，在产品演示时可以考虑使用一块或两块单板进行演示，可以降低演示成本。

其解决方案是在Linux上运行XEN虚拟机，每个单板上实际运行5个XEN系统。

我们产品在Linux kernel插入了一个挂在IP协议栈的模块，用于修改本系统的IP包。最近收到测试部问题，说单板/var/logs/下面经常生成很大的messages文件。根据以往的经验，我知道应该是我们插入的模块在某种异常情况下写内核日志太多，Linux下内核日志是基于klogd服务的；默认情况下，klogd又将输出重定向到syslogd服务。

由于最近实在太忙，没有时间去定位具体的原因，便想找个规避方法。于是到网上找了以下syslogd的资料。

下面是从IBM Developworks找到的关于syslogd服务的介绍以及配置方法，很详细。

链接：http://www.ibm.com/developerworks/cn/linux/security/l-ossec/part2/index.html

当我们用上面的方法进行了 Linux 服务器的安装和一些基本的设置后，我们的服务器应该说来是比较安全的。但是总是还会有黑客可以通过各种方法利用系统管理员的疏忽侵入我们的系统。他们的一举一动都会记录到系统的日志之中，尽管他们可能可以改变这些日志信息，甚至用自己的程序替换掉我们系统本身的命令程序，但是通过日志我们总还是能找到一些蛛丝马迹。下面我们主要讲一下 Linux 环境中的系统记帐和系统日志管理以及怎么用一些工具更加方便有效的管理日志信息。

1 系统记帐

最初开发的系统记帐用于跟踪用户资源消费情况，从用户帐号中提取费用为目地的。现在我们可以把它用于安全目的，给我们提供有关在系统中发生的各种活动的有价值信息。

系统记帐主要非为两类:

1) 连接记帐

连接记帐是跟踪当前用户当前对话、用户登录和退出的活动。在 Linux 系统中使用 utmp (动态用户对话)和 wtmp (登录/退出日志记录)工具来完成这一记帐过程。Wtmp 工具同时维护重新引导和系统状态变化信息。各种程序对这些工具进行刷新和维护，因此无须进行特殊的后台进程或程序。然而，utmp 和 wtmp 输出结果文件必须存在，如果这些文件不存在会关闭连接记帐。与 utmp 和 wtmp 有关的所有数据将分别保存在 /var/run/utmp 和 /var/log/wtmp 中。这些文件归根用户所有。这些文件中的数据是用户不可读的，但也有工具可以转换成可读的形式。

dump-utmp 可以转换连接记帐数据为可读的 ASCII 格式数据。

ac 命令提供了有关用户连接的大概统计，我们可以使用带有标志 d 和 p 的 ac 命令。标志 d 显示了一天的总连接统计，标志 p 显示了每一个用户的连接时间。这种统计信息的方式对了解与探测入侵有关的用户情况及其他活动很有帮助。Last 和 who 是出于安全角度定期使用的最常用命令。