Windows系统中最垃圾无脑的‘’操作‘’

网络日志和性能管理

1.熟悉网络系统日志的属性;
2.掌握网络系统日志的性能管理;
3.学会网络系统日志分析
项目任务描述
日志对于网络系统安全来说非常重要，它记录了系统每天发生的各种各样的事情，网络管理员可以通过它来检查错误发生的原因，或者受到攻击时攻击者留下的痕迹，可以使系统管理员快速对潜在的系统人侵做出记录和预测。
任务
①子任务1:获取和管理网络系统日志;
②子任务2:根据网络系统日志跟踪与分析网络系统的性能变化。

项目任务实施

(一) 子任务1获取和管理 网络系统日志

1.工作任务

获取和管理网络系统日志。

2.相关知识

(1)网络系统日志的概念
所谓日志( Log)，是指系统所指定对象的某些操作和其操作结果按时间有序的集合。每个日志文件由日志记录组成，每条日志记录描述了一次单独的系统事件。通常情况下，系统日志是用户可以直接阅读的文本文件，其中包含了一个时间戳和一个信息或者子系统所特有的其他信息。日志文件为服务器、工作站、防火墙和应用软件等IT资源相关活动记录必要的、有价值的信息，这对系统监控、查询、报表和安全审计是十分重要的。日志文件中的记录可提供以下用途:监控系统资源;审计用户行为;对可疑行为进行告警;确定人侵行为的范围;为恢复系统提供帮助;生成调查报告;为打击计算机犯罪提供证据来源。

(2)网络系统日志的格式

Windows NT/2003的系统日志文件包括:应用程序日志、安全日志、系统日志、DNS服务日志，以及FIP连接日志和HTTPD日志等。在默认情况下，日志文件大小为512KB 日志保存的默认的位置如下:
安全日志:
%systermroto%lystem32lconfig \SecEventEVT

系统日志文件: %systemroot% lsystem32lconfig \SysEvenL.EVT

应用程序日志文件: %systemroot% \system32\config \AppEvent.EVT
FTP

连接日志和HTTPD事务日志%systemroot% \system32\LogFiles, 下面还有子文件夹，分别对应该FTP和Web服务的日志，其对应的后缀名为.Log。

windows NT/2003的系统日志由事件记录组成。每个事件记录为三个功能区:记录头区、事件描述区和附加数据区。

3.网络设备日志
路由器日志消息可以记录系统错误、网络变化、接口的状态、登录失败、访问列表匹配情况以及其他事件。下面列表中包含了路由器日志可提供的其他数据类型:
①记录路由器配置的改变和重新启动信息。
②记录违反访问列表的数据信息。
③记录接口改变和网络状态。
④记录违反路由器密文安全的操作。

有些事件十分重要，但路由器不能记录，例如: EXEC优先级别的改变;
密码的改变;
通过SNMP对配置进行改变;
在NVRAM中存储新的配置信息。

日志消息的格式通常包括三部分:生成消息的时间、日志消息名称和严重等级以及消息正文。各部分之间用冒号隔开，例如:
Apr 220: 27: 01 172.25.2.6 94: %SYS _5-CONFIG _I: Configured from on vty0

日志消息根据严重等级进行分类，编号越低，消息就越严重。通常分为0~ 7八个级别，见表12-1。
日志消息可用以下五种不同的方法进行管理，可以将消息发到5个目标或这些目标的任意组合。有价值的日志形式是持久的，并且可以长时间保留。

(1)控制台日志

上面的例子将控制台级别设为5 ( %SYS -5 -CONFIG I)，即通知级别。该级别代表重要的消息会出现在控制台上，但访问列表消息不会出现。使用lgging console info可以显示所有调试的消息(其中包括访问列表消息) ;使用logging console debug可以在控制台上显示每条消息。要注意的是，使用这些命令会对路由器产生额外的开销，所以要慎重使用这些命令。

总之，只有当控制台正在使用，或者其输出正被显示或捕获时，控制台日志的级别才可设置为显示消息。使用命令logging console critical可以将控制台日志级别设置为2。
下面举例将控制台日志设置为5:
Router ( config ) #logging console notificationsRouter ( config ) #logging onRouter ( config ) #exitRouter#
*Aug 28 22: 10: 18.503: %SYS -5-CONFIG I: Configured from console by console

(2)缓冲区日志

对于缓冲区日志以及其他形式的持久日志，记录产生日志的时间和日期是十分重要的。路由器提供记录消息时间的能力，但这-选项必须明确地打开。通常情况下，存放日志的缓冲区大小应为16KB,那么应当将日志大小设置为32KB或64KB。

下面举例将缓冲区日志级别设置为6，并且缓冲区大小设置为32KB:
Router ( config ) #logging buffered informational
Router ( config ) #logging buffered 32768
Router ( config ) #end
*Aug 2822: 16: 19.895: %SYS- 5-CONFIG_ I: Configured from console by consoleshow
Router#show logging
Syslog logging: enabled ( 9 messages dropped, 1 messages rate-limited, ( flushes, 0 overruns,xml disabled )
Console logging: level notifications, 45 messages logged, xml disabled
Monitor logging: level debugging, 0 messages logged, xml disabled
Buffer logging: level informational, 1 messages logged, xmldisabled
Logging Exception size ( 8192 bytes )

Count and timestamp logging messages: disabled
Trap lgging: level informational, 50 message lines logged
Log Buffer ( 32768 bytes) :
*Aug 28 22: 16: 19.895: %SYS- 5- -CONFIG I: Configured from console by console

(3)终端级路日志

任何终端或虚拟终端线路都可以作为日志的监控器。以下是设置终端监控日志的两部分:
为终端线路监控日志消息设置严重等级。这一步只能做次。
当使用指定线路时，需要将该线路设置为监控器。这一步在每个会话中需要做一次。
以下是开启终端线路日志:
Router#terminal monitor
% Console already monitors
(4) Syslog日志

网络安全管理员应该经常把路由器上重要事件日志记录到Syslog服务器上，为了研日志完整性，Syslog服务器应当设置在安全的内部网络上。Syslog服务器可以是一个专用服务器，也可以是运行Syslog服务的服务器。默认情况下，Syslog 消息被发送到UDP的514端口 如里体用Sureloa服各婴培收口士消自IDD 的514端口不能被其他服各占用