网络日志和性能管理

一项目任务实施
(一) 子任务1获取和管理网络系统 8志
1.工作任务
获取和管理网络系统日志。2.相关知识
(1)网络系统日志的概念
所谓日志(Log).是指系统所指定对象的某些操作和其操作结果按时间有序的集合每个日志文件由日志记录组成，每条日志记录描述了次单
独的系统事件。通常情况下系统日志是用户可以直接阅读的文本文件，其中包含了一个时间裁和-个信息或者子系统所特有的其他信息。日志文件为服务器、工作站、防火墙和应用软件等IT资源相关乐动记录必要的、有价值的信息，这对系统监控.查询、报表和安全审计是十分重要的，日志文件中的记录可提供以下用途监控系统资源;审计用户行为:对可疑行为进行告警确定人侵行为的范围;为恢复系统提供帮助生成调查报告;为打击计算机犯罪提供证据来源。
(2)网络系统H志的格式
Windows NT/2003的系统日志文件包括:应用程序日志、安全日志、系统日志、DNS服务日志，以及FTP连接日志和HTTPD日志等。在默认情况下，日志文件大小为512KB, 日志保存的默认的位置如FTP
安全日志文件: Wsyslemroot%leystem32)config
ISecEvent.EVT系统日志文件: %oystemroot%\system32)config
I5ysEvenLEVT
应用程序日志文件: %systemroot%lsystem32lconfig
VAppEvenLEVT
FTP连接日志和HTTPD事务日志:
%esystemroot% \system32\LogFiles.下面还有子文件夹，分别对应该FTP和Web服务的日志，其对应的后缀名为.Log。
Windows NT/2003的系统日志由事件记录组成。每个事件记录为三个功能区:记录头区、事件描述区和附加数据区。
3.网络设备日志
路由器日志消息可以记录系统错误、网络变化、接口的状态、登录失败、访问列表匹配情况以及其他事件。下面列表中包含了路由器日志可提供的其他数据类型:
①记录路由器配置的改变和重新启动信息。②记录违反访问列表的数据信息。③记录接口改变和网络状态。
④记录违反路由器密文安全的操作。

此事件十分重要，但路由器不能记录，例如:有些

XEC优先费制的改变:.密码的改变:

.通过SNMP对配置进行改变; .在NVRAM中存储新的配置信息。

日志消息的格式通常包括三部分:生成消息的时间，

各部分之间用冒号隔开，例如:息正文。

Apr 220:27:01 172.25.2.94 %SYS S5-CONFIC

日志消息可用以下五种不同的方法进行管理，可以将消息发到5个目标或这些目标的任意组合。有价值的日志形式是持久的，并且可以长时间保留。

(1)控制台日志

上面的例子将控制台级别设为5 (%SYS 5- -CONFIC 1)，即通知级别。该级别代表重要的消息会出现在控制台上，但访问列表消息不会出现。使用logging comsole info可以显示所有调试的消息(其中包括访问列表消息) ;使用logging console debug可以在控制台上显示每条消息。
要注意的是，使用这些命令会对路由器产生额外的开销，所以要慎重使用这些命令。

总之，只有当控制台正在使用，或者其输出正被显示或捕获时，控制台日志的级别才可设置为显示清息。使用命令hging comsdle rial可以将控制台日志级别设置为2。

下面举例将控制台日志设置为5:

Routler ( config ) #logging console
notifcationsRouter ( config ) #logging onRouter ( config ) #exit

Router#
fom comeole ly comsdle*Aug 28 22 10: 18 s03: GSYS-5 CONFIC I: Cnigurnf

二)子任务2 根据网络系统
日志跟味与分析网络系统的性能变化

1.工作任务

根供网络系统日山银踪与分析网络系统的性能变化。2.FTP 1志分析

, wwww 1心自取认情下，自天生皮个日文件，包含了该目的。产生的日志，记事本可直设打开，普通的有人侵行为的日志取是这样的。记录，文件名通常为以(年份) (份) (日期)。例如040419,就是220年4月19

WSnwaw Mic mol hienet tfomnin Sorvicen 5.0
(微软1550WVension;1.0 (版本1.0)

/Datn: 200404190315 (服务启动时间日期)#Fields: time cip camethod courintem wetatis

0315 1700.0“1” USER uhinaen 33 (IP地址为170用户名为ninio试图登录

0318127.0.0.1 “I” PASS“530(登录失败)

032;04 127.0.0.10 “1” USER n 33 (P地址为170.0.1用户名为m的用户试图登录)032:06
127.0.0.1 “1” PASS一530(登录失败)

032:09 127.00.1 "1”USER 0y331(IP地址为1270.0.1用户名为eyz的用户试图春录)0322 127.0.0.1“I” PASS一530( 登录失败)

0322 127.0.0.1 “1” USER administraton 331
(IP地址为127.0.0.1用户名为adinsitiat试图登录)

0324 127.0.0.1“1”PASS - 230( 登录成功)0321 127.0.0.1 “I” MKDnt550 (新建目录失败)0325
127.0.0.1“I” QUIT- 550 (退出FIP程序)

从日志里就能看出IP地址为127.0.0.0
的用户直试图登录系统，换了四次用户名机密码才成功，管理员立即就可以得知这个IP至少有人侵企图!而他的人侵时间，中P地址以及探测的用户名都很清楚地记录在日志上。如上例人侵者最终是用hisiain进人的，那么就要考虑此用户名是不是密码失窃，还是被别人利用。接下来就婴想想系统出什么问题了。

3.www日志分析

足够的细心，否则， 很容易遗漏那W3SVC1目录下，默认是每天一个日和其他日志不同，它的分析受组致得多，www服务同FTP服务一样，种很简单的日志，产生的日意也是在文件。这里需需要管理员有丰富的人侵、防护知识、要特别说明一下，因为Web的日志并且要有

由于我们不可能一个个分析，所以这里举个简单例子:而通常这样的目志义是非常关键的。

#Sofware: Microsoft’ hteme liomation
Servies 5.0#Version: 1.0

#Date: 2004041903: 091

( UserAgent )

2004010 03: 091 121681.162 92.16.1.7 80 CET
istat P 200 Mil( compatiblel; +MSIE+5.0; +Windows+98); +DigExt)

20040419 03: 094 192. 168.1.26 192.168.13.7
80 GET pgero.gef 200 Milal4.+( compatiblel; +MSIE+5.0; +Windows+98; +DigExt )

通过分析第六行，可以看出2004年5月19日，IP地址为192.168.1.26的用户通过访问IP地址为192.168.1.37机器的80端口，查看了一个页面isatasp,这位用户的浏览器为compatiblel; +MSIE+5.0);
+Windows+98+DigExt. 有经验的管理员就可通过安全日志、FTP日志和www日志来确定人侵者的IP地址以及人侵时间。

对现在非常常见的SOL注人式攻击，通过对put. get 的检查，也可以大概判断是哪个页面出了问题，从而修补。