今日はSyslogについて纏めておきます。
Syslogによって取得できるログで不正アクセスやサーバの状態、サービスの動作を監視することができます。
ログが出力されるファイルは以下の通りです。
/var/log/messages
→一般的なシステムに関する情報
/var/log/cron
→定期的に実行される処理の結果に関する情報
/var/log/maillog
→メールに関する情報
/var/log/secure
→セキュリティに関する情報
/var/log/spooler
→印刷やニュースに関する情報
/var/log/boot.log
→OS起動時に関する情報
*出力されるログの書式:日時_サーバ名(IPアドレス)_情報
(例)Oct 2 04:03:21 mail named[3628]: zone xx.168.192.in-addr.arpa/IN: Transfer started.
ログには
「アプリが独自に出力するもの(apatch、squid、samba)」
「syslogdを利用するもの」
がある。
設定ファイルは/etc/syslog.confで2つのフィールドの書式がある。
「selector」 (取得するログの設定)
「action」 (selectorで指定したメッセージログを出力するファイルを設定)
書式: selictor action (←間にはタブ、だたしOSによって異なる)
▼selectorについて
これも2つの書式で設定する。
「facility」 (取得するログの分類情報)
「priority」 (プログラムが出力するメッセージログレベルを設定)
書式: facility.priority (←間にはピリオド)
▼facilityの種類
auth,authpriv
→認証サービスのメッセージ
cron
→クーロンメッセージ
deamon
→デーモンメッセージ
kern
→カーネルメッセージ
lpr
→プリンタサービスのメッセージ
mail
→メールメッセージ
news
→ニュースサービスのメッセージ
syslog
→syslogのメッセージ
user
→ユーザプロセスのメッセージ
uucp
→uucp転送メッセージを行うプログラムメッセージ
local0~7
→アプリケーションに依存
*複数のfacilityを指定する場合は「,」カンマで設定すること。
▼Priorityの種類
none
→メッセージを受け取らない
debug
→デバック情報
info
→情報
notice
→通知
warm
→警告
err
→一般的なエラー
crit
→致命的なエラー
alert
→緊急に対処すべきエラー
emerg
→システムが落ちるような状態
*errを設定するとerrからemergまでが設定される
*またemergに近いほど重要度が高い。
▼actionの種類
ファイルに出力
→/var/log/messages
→-/var/log/maillog
*保存先のファイル名の前にハイフン(“-”)を付けるとファイルをディスクに書き出す際にバッファリングをするようになる。
バッファリングを行わないとHDDに細かいデータを頻繁に書き出すため、
ディスク関連の負荷が上昇し,システムパフォーマンスの低下が生じることがあります。
バッファリング(ある程度の量のデータをためてから書き出す)を行うことにより、
ある程度,負荷の上昇を抑えることができます。
ただバッファリングをしている最中にシステムがクラッシュしてしまうと
たまっていたデータはディスクに書き出されずに消えてしまいます。
他のプログラムに渡す
→| を使用する
他のホストに渡す
→@ホスト名
ユーザコンソールに渡す
以下の記述はRHEL5.6の/etc/syslog.confにデフォルトで設定されている記述です。
*.info;mail.none;news.none;authpriv.none;cron.none /var/log/messeges
authpriv.* /var/log/secure
mail.* -/var/log/maillog
cron.* /var/log/cron
*.emerg *
uucp,news.crit /var/log/slooper
▼不正アクセスについて
どの状態が「正常な状態」か「攻撃を受けている、準備されている」かを日ごろのチェックで知っておくことが必要。
例えば「xntpd」に関するログはDDS攻撃を受けていることを意味する。
チェックするログファイルは「/var/log/messages」と「/var/log/secure」です。
▼外部からのログを取得する起動オプションについて
/etc/sysconfig/syslogファイルに以下の記述を追加すると外部(自分以外の機器)からログを受け取るようになる。
SYSLOGD_OPTIONS="-m 0 -r"
→正確にいうと-rを追加する。
設定後、サービスの再起動(/etc/init.d/syslog restart)を実行すると設定が有効になる。
▼参考URL
http://www.atmarkit.co.jp/fsecurity/rensai/unix_sec08/unix_sec01.html
以上
Syslogによって取得できるログで不正アクセスやサーバの状態、サービスの動作を監視することができます。
ログが出力されるファイルは以下の通りです。
/var/log/messages
→一般的なシステムに関する情報
/var/log/cron
→定期的に実行される処理の結果に関する情報
/var/log/maillog
→メールに関する情報
/var/log/secure
→セキュリティに関する情報
/var/log/spooler
→印刷やニュースに関する情報
/var/log/boot.log
→OS起動時に関する情報
*出力されるログの書式:日時_サーバ名(IPアドレス)_情報
(例)Oct 2 04:03:21 mail named[3628]: zone xx.168.192.in-addr.arpa/IN: Transfer started.
ログには
「アプリが独自に出力するもの(apatch、squid、samba)」
「syslogdを利用するもの」
がある。
設定ファイルは/etc/syslog.confで2つのフィールドの書式がある。
「selector」 (取得するログの設定)
「action」 (selectorで指定したメッセージログを出力するファイルを設定)
書式: selictor action (←間にはタブ、だたしOSによって異なる)
▼selectorについて
これも2つの書式で設定する。
「facility」 (取得するログの分類情報)
「priority」 (プログラムが出力するメッセージログレベルを設定)
書式: facility.priority (←間にはピリオド)
▼facilityの種類
auth,authpriv
→認証サービスのメッセージ
cron
→クーロンメッセージ
deamon
→デーモンメッセージ
kern
→カーネルメッセージ
lpr
→プリンタサービスのメッセージ
→メールメッセージ
news
→ニュースサービスのメッセージ
syslog
→syslogのメッセージ
user
→ユーザプロセスのメッセージ
uucp
→uucp転送メッセージを行うプログラムメッセージ
local0~7
→アプリケーションに依存
*複数のfacilityを指定する場合は「,」カンマで設定すること。
▼Priorityの種類
none
→メッセージを受け取らない
debug
→デバック情報
info
→情報
notice
→通知
warm
→警告
err
→一般的なエラー
crit
→致命的なエラー
alert
→緊急に対処すべきエラー
emerg
→システムが落ちるような状態
*errを設定するとerrからemergまでが設定される
*またemergに近いほど重要度が高い。
▼actionの種類
ファイルに出力
→/var/log/messages
→-/var/log/maillog
*保存先のファイル名の前にハイフン(“-”)を付けるとファイルをディスクに書き出す際にバッファリングをするようになる。
バッファリングを行わないとHDDに細かいデータを頻繁に書き出すため、
ディスク関連の負荷が上昇し,システムパフォーマンスの低下が生じることがあります。
バッファリング(ある程度の量のデータをためてから書き出す)を行うことにより、
ある程度,負荷の上昇を抑えることができます。
ただバッファリングをしている最中にシステムがクラッシュしてしまうと
たまっていたデータはディスクに書き出されずに消えてしまいます。
他のプログラムに渡す
→| を使用する
他のホストに渡す
→@ホスト名
ユーザコンソールに渡す
以下の記述はRHEL5.6の/etc/syslog.confにデフォルトで設定されている記述です。
*.info;mail.none;news.none;authpriv.none;cron.none /var/log/messeges
authpriv.* /var/log/secure
mail.* -/var/log/maillog
cron.* /var/log/cron
*.emerg *
uucp,news.crit /var/log/slooper
▼不正アクセスについて
どの状態が「正常な状態」か「攻撃を受けている、準備されている」かを日ごろのチェックで知っておくことが必要。
例えば「xntpd」に関するログはDDS攻撃を受けていることを意味する。
チェックするログファイルは「/var/log/messages」と「/var/log/secure」です。
▼外部からのログを取得する起動オプションについて
/etc/sysconfig/syslogファイルに以下の記述を追加すると外部(自分以外の機器)からログを受け取るようになる。
SYSLOGD_OPTIONS="-m 0 -r"
→正確にいうと-rを追加する。
設定後、サービスの再起動(/etc/init.d/syslog restart)を実行すると設定が有効になる。
▼参考URL
http://www.atmarkit.co.jp/fsecurity/rensai/unix_sec08/unix_sec01.html
以上
※コメント投稿者のブログIDはブログ作成者のみに通知されます