Воспоминания
Пингвина
г
Сергей ПАРИЖСКИЙ
www.heel.nm.ru
Одно из полезнейших свойств ОС на базе Unix— это протоколирование всех событий, происходящих в системе.
То есть все, что вы делаете, даже с правами root, записывается в системные журналы. Я считаю, что знать,
где находятся журналы, и уметь их анализировать должен каждый линуксоид. Из системных журналов вы
сможете узнать обо всех действиях, выполняемых другими пользователями или от имени вашего пользователя,
о загружаемых сервисах и произошедших ошибках, которые они протоколируют. Словом, вы будете в курсе
всего, что происходит в вашей системе. Есть два способа анализа системных журналов— ручной и программный.
Н
аиболее распространенным спосо-
бом протоколирования информации
о роботе программ является исполь-
зование демона syslogd. Он пре-
доставляет разным программам единый
способ регистрации событий в системные
журналы. Все сообщения, создающиеся
в процессе работы системы, обрабаты-
ваются syslog в зависимости от их кате-
гории и приоритета. В таблице 1 описаны все категории сооб-
щений. Все сообщения в каждой категории разделяются по при-
оритетам. Это делается для того, чтобы отделить критические
ошибки от информационных. Приоритеты приведены в таблице 2.
Демон syslogd имеет файл конфигураций (/e tc /s y s lo g . conf),
при помощи которого можно задавать пути для файлов журна-
лов, обрабатывать определенные категории сообщений и делать
еще некоторые настройки. Формат строк в этом файле имеет
следующий вид:
к а т е г о р и я . п р и о р и т е т а д р е с _ _ о т п р а в х и _ д л я _ в ы б р а н н о й _ к а -
т е г о р и и с о о б щ е н и й
Чтобы стало понятно, вот несколько строк из моего файла
конфигураций:
a u t h p r i v . e r r / r o o t / r o o t _ l o g o n . l o g
k e r n . c r i t / k e r n e l _ e r r o r . l o g
I ТАБЛИЦА 1
Категория
Описание
auth
нарушение безопасности и авторизации доступа
\
authpriv
использование доступа через root или привилегированную учетную запись
стоп
сообщение демона cron
daemon
сообщение от выполняющегося демона (httpd, pppd .)
kern
сообщение ядра
; 1рг
сообщение от системы печати
; mail
сообщение от почтовой программы (sendmail, kmail.
.)
! news
сообщение от системы новостей
! syslog
сообщения,которые создает syslog
I
ииср
сообщения UUCP
user
сообщения ат пользовательских программ
Т А Б Л И Ц А 2
Приоритет
Описание
debug
отладочные сообщения
info
информационные сообщения
notice
допустимое сообщение,но требующее внимания администратора
warning
предупреждающие сообщения
егг
сообщения аб ошибках
crit
критическая ошибка,представляет угрозу для системы
alert
требует немедленного вмешательства пользователя
emerg
система непригодна для дальнейшей работы
ТАБЛИЦА 3
/путь/к_файпу
запись в указанный файл
@имя_хоста
отправляются но указанный хост (например, localhost)
heel.root
имена пользователей, которым отправлять сообщения в терминал
*
в терминал всех пользователей
/dev/console
в указанную консоль
Первая строка записывает в указанный файл все неудачные
попытки зайти с привилегированными правами. Вторая строка
сообщает обо всех критических ошибках ядра. С левой
частью все ясно, мы ее рассматривали выше, а вот воз-
можные варианты указания путей рассмотрены в таб-
лице 3.
Формат сообщений, протоколируемых при помощи
вув1од, следующий:
м е с я ц д е н ь в р е м я х о с т п р о ц е с с [р :1 Л ] : с о о б щ е н и е
Формат достаточно понятен,
х о с т — это имя хоста,
который отправил сообщение. р:1л — идентификатор
процесса.
Здесь я хочу рассмотреть два пакета для обработки файлов
системных журналов, которые предлагают два разных способа
анализа системных журналов.
L o g c h e c k (www.psionic.coni/obo-cus/logchek) — программа ком-
пании Psionic Software (www.psionic.com). Эта программа не ра-
ботает кок демон, она вызывается для проверки записей фай-
лов журналов. Можно делать это самому, а можно автомати-
зировать процесс с помощью демоно
c r o n . Преимущество дан-
ного метода состоит в том, что программа запускается только
один раз в заданный момент времени, что явно позволяет
сэкономить ресурсы. Но в таком случае необходимо задать ус-
тановки, позволяющие гарантировать, что программа будет
анализировать только ту информацию, которая была зареги-
стрировано со времени последнего зопуска программы. В про-
тивном случае возникает вероятность повторного анализа од-
ной и той же информации.
Донная программа построена на нескольких файлах, в кото-
рых содержатся самые обычные регулярные выражения (шабло-
ны) egrep. После поиска соответствующих строк программа ре-
шает, стоит ли создавать отчет и отправлять его администрато-
ру. Ниже рассмотрены самые важные файлы регулярных выра-
жений, определяющие работу программы.
lo g c h e c k . h a c k in g — выражения, которые гарантируют, что
была осуществлена попытка взлома.
l o g c h e c k . v i o l a t i o n s — нежелательные события в системе,
l o g c h e c k . ig n o r e — строки, которые следует принимать зо
обычные и игнорировать при выявлении «неполадок».
Не очень популярная, но тем не менее очень достойная про-
грамма для протоколирования событий в системе имеет назва-
ние
r l o g . Эта программа, в отличие от L o g c h e c k , запускается
кок демон,
r l o g d — это демон проверки системных журналов,
который выполняется непрерывно. С одной стороны, постоянная
проверка журналов сервисом может привести к медленной ро-
боте но слабых компьютерах, но, с другой стороны, если ваша
система не ограничено в ресурсах, это отличный способ опера-
тивно получать информацию о выявленных нарушениях.
r l o g написон полностью но Per/, ток что его настройка сво-
дится к программированию на этом языке. Исходный код содер-
жит много комментариев, ток что доже если вы не сильны в Perl,
все ровно стоит посмотреть.
В Интернете существует много программ, которые выполняют
функцию анализа системных журналов. Зная определенный язык
программирования, токую программу сможете нописсгть и вы.
14/341
04
апреля
-11
апреля
2005
предыдущая страница 26 Мой Компьютер 2005 14 читать онлайн следующая страница 28 Мой Компьютер 2005 14 читать онлайн Домой Выключить/включить текст