描述:网络管理员可以根据日志来检查错误发生的原因或者受到攻击时攻击者留下的痕迹,可以使系统管理员快速对潜在的系统入侵做出记录和预测。
一、获取和管理网络系统日志
网络系统日志的概念
日志(log):
是指系统所指对象的某些操作和其操作结果按时间有序的集合。
作用:
(1) 监控系统资源
(2) 审计用户行为
(3) 对可疑行为进行告警
(4) 确定入侵行为的范围
(5) 为恢复系统提供帮助
(6) 生成调查报告
(7) 为打击计算机犯罪提供证据来源
网络系统日志的格式(后缀.Log)
Windows NT/2003的系统日志文件包括:
(1) 应用程序日志
(2) 安全日志
(3) 系统日志
(4) DNS服务日志
(5) FTP连接日志
(6) HTTPD日志
网络设备日志
路由器日志消息可以记录系统错误、网络变化、接口状态、登录失败、访问列表匹配情况
可提供的类型:
(1) 路由器配置的改变和重新启动信息
(2) 违反访问列表的数据信息
(3) 接口改变和网络状态
(4) 违反路由器密文安全的操作
路由器不能记录的有: