科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道用路由器日志快速定位及排除故障

用路由器日志快速定位及排除故障

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

日志对于网络安全来说非常重要,他记录了系统每天发生的各种各样的事情,你可以通过他来检查错误发生的原因,或者受到攻击时攻击者留下的痕迹。

来源:chinaitlab 2008年1月3日

关键字: 路由器 路由交换

  • 评论
  • 分享微博
  • 分享邮件

在本页阅读全文(共2页)

    星号(*):代表某一细项中所有项目。例如mail.*表示只要有关mail的,不管什么程度都要记录下来。而*.info会把所有程度为infn的事件给记录下来。

  等号(=):表示只记录目前这一等级,其上的等级不要记录。例如上面的例子,平常写下info等级时,也会把位于info等级上面的notice.err.warning、crit、alert、emerg等其他等级也记录下来。但若你写=info则就只有记录info这一等级了。

  惊叹号(!):表示不要记录目前这一等级及其上的等级。

  3、记录存放的位置

  sysloqd提供下列方法供您记录系统发生的事件:

  一般文件

  这是最普遍的方式。你可以指定好文件路径与文件名称,但是必须以目录符号"/"开始,系统才会知道这是一个文件。例如/var/adm/maillog表示要记录到/var/adm下面一个称为maillog的文件。如果之前没有这个文件,系统会自动产生一个。

  指定的终端机或其他设备

  你也可以将系统记录写到一个终端机或是设备上。若将系统记录写到终端机,则目前正在使用该终端机的使用者就会直接在屏幕上看到系统信息(例如/dev/conso旧或是/dev/tty1,你可以拿一个屏幕专门来显示系统信息)。若将系统记录写到打印机(例如/dev/!p0)。,则你会有一长条印满系统记录的纸,这样网络入侵者就不能修改日志来隐藏入侵痕迹。

  指定的远端主机

  如果你不将系统信息记录在本地机器上,你可以写下网络中另一个主机的名称,然后在主机名称前面加上"@"符号(例如(@)ccunix1.variox.int,但被你指定的主机上必须要有sysloqd)。这可以防止由于硬盘错误等情况使日志文件丢失。

  以上就是syslog各项记录程度及记录方式的写法,可以依照自己的需求记录下自己所需要的内容。但是这些记录都是一直追加上去的,除非将文件自行删除掉,否则这些文件就会越来越大。Syslog设备是一个网络攻击者的显著目标,通过修改日志来隐藏入侵痕迹,因此我们要特别注意。最好养成每周(或更短的时间)定期检查一次记录文件的习惯,并将过期的记录文件依照流水号或是日期备份,以后查阅时也比较容易。千万不要记录下*.*,这样无论什么都被记录下来,结果会导致文件太大,要找资料时根本无法马上找出来。有人在记录网络日志时,连谁去ping他的主机都要记录,这样不仅降低系统效率而且增加了磁盘用量。

  路由器日志功能的具体设置方法

  首先在UNIX主机上做下列工作,以超级用户注册进入:

 

   


    
    其中168.1.1.2为日志主机的IP地址。这样对路由器进行的一些操作将会记录在mail_debug和r2509_debug这两个文件中。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章