برای اینکه از یک سیستم لینوکسی log بگیریم از چندین نرمافزار میتوانیم استفاده کنیم مانند:
برای اینکه ببینیم چه log کنندهای بر روی سیستم نصب است از برنامه 1‑1 استفاده میکنیم
ps –aef | grep log
برنامه 1‑1 سیستم لاگ
برای مشاهدهی لاگها وارد مسیر /var/log شده و فایل مربوطه را مشاهده میکنیم همچنین میتوانید از فرمان dmesgهم استفاده کنید [1]
فایل /var/log/syslog حاوی لاگهایی هست که توسط syslogd[1] تولیدشده٬ و این فایل لاگهای مهمی را در خود ذخیره میکند. واژهی daemenاشاره به اتفاقاتی دارد که در پشت پردهی سیستمعامل میافتد و از دسترسی و چشم کاربر دور میباشد.
در مسیر /var/log فایلی بانام auth.log وجود دارد که وظیفهی نگهداری اطلاعاتی از قبیل ورود کاربران و اشخاصی که به سیستم متصل شدهاند را دارد.
بهعنوانمثال شما میخواهید ببینید که چه شخصی به سیستم sshزده است برنامه 1‑2
grep sshd /var/log/auth.log
برنامه 1‑2 لاگ شناسایی
در میسر /var/logفایلی به نام deamen.logوجود دارد همانگونه که گفته شد واژهی daeman به آنچه در پشت پرده اجرا میشود نسبت دادهشده است.
تفاوت این فایل با syslog در این است که فایل daeman شامل لاگهای٬ تمامی اتفاقهایی که در پشت صحنهی سیستمعامل میافتد است مانند سیستمی و نرمافزاری ٬ درصورتیکه syslog چنین نیست و فقط مربوط به اتفاقهای پشت پردهی سیستم میشود و به نرمافزارهایی که در پشت پرده اجرا میشود کاری ندارد.
در این فایل اطلاعات debugging مربوط به سیستم و نرمافزارها وجود دارد.
درصورتیکه شما قصد داشته باشید اتفاقاتی که در kernel میافتد را مشاهده کنید میتوانید به فایل/var/log/kernel.log مراجعه کنید. این فایل شامل اطلاعاتی میباشد که در کرنل رخ میدهد مانند شناسایی و الحاق سختافزار و درایور٬ همچنین شما میتوانی با استفاده از فرمان dmesg از اتفاقاتی که در کرنل رخ میدهد مطلع شوید.
برخی از لاگ فایلها هستند که مورداستفادهی برخی از نرمافزارها میشوند و نرمافزارها با استفاده از آنها به شناسایی و وظیفهی خود میپردازند.[2]
فایل wtmp یک فایل باینری است که در مسیر /var/log وجود دارد که فرمانم who از این فایل استفاده میکند و با استفاده از این فایل به شناسایی افرادی که به سیستم login هستند میپردازد.
در جدول 1‑1 به یک سری از فرمانها اشارهشده است که میتواند در لاگ خوانی از آنها استفاده کرد.
میکروتیک این قابلیت را دارد که اتفاقهایی که در سیستمش رخ میدهد را در مسیری به نام log نمایش دهد٬ اما در این مسیر٬ لاگهای متنوعی وجود دارد که در این فصل به اساسیترینهای آن میپردازیم.[3]
شما میتوانید تمامی logهایی را که میکروتیک تولید میکند در اینجا مشاهده کنید.
لاگهایی که باید در میکروتیک بررسی شوند و از اهمیت بیشتری برخوردار میباشند درجدول 2‑1 نامبرده شده.
مواردی که گفته شد همراه با یک درجهبندی مشخص میشوند٬ یعنی ممکن است که یک log گزارششده٬ به علت یک error اتفاق افتاده باشد٬ یا اینکه یک log برای اطلاع دادن از یک رخ داد معمول و عادی باشد این درجهبندیها در جدول 2‑2 ذکر شده است.
نکته) در جدول 2‑1 یک سری پیغامها ذکر شد٬ که این دسته از logها مهم بوده و در صورت وجود باید موردتوجه قرار گیرند و علت آنها مشخص شود٬ اما در برخی مواقع٬ برخی از logها باید حتماً بررسی شوند و موضوع آنها مهم نیست٬ بلکه آنچه اهمیت دارد درجهبندی logها است. در جدول 2‑2 درجهبندی اهمیت logها مشخص شد٬ پس به این نکته توجه کنید که هرگونه log تولیدشده که در درجهبندی error و warning قرار داشت باید موردتوجه قرار بگیرد و علت آن مشخص شود٬ همچنین logهایی که در دسته critical هستند٬ میتوانند ما را آگاه کنند٬ که چه اشخاصی به router متصل شدهاند.
در این قسمت قصد درایم که logهای esxi را بررسی کنیم.[4]
درجدول 3‑1 logهای مهم مربوط به esxi گفتهشده است و هرکدام توضیح مختصری دادهشدهاند
در این فصل به بررسی اینکه چه نوع log را در چه زمانی بررسی کنیم میپردازیم.
در فصلهای گذشته از این مستند، به بررسی انواع logها پرداخته شد و این موضوع که چه logهایی باید حتماً موردتوجه قرار گیرند مطرح شد، اما در این فصل به بررسی این نکته که چه logهایی باید روزانه بررسی شود و اینکه در چه مواقعی log دستگاه بررسی شود پرداخته میشود.
در اکثر شرکتها logهای دستگاههای مختلف اعم از فایروال، سوئیچ و .. جمعآوری میشوند نهفقط بهاینعلت که مشکلات به وجود آمده بررسی و برطرف شوند، بلکه از این روش استفاده میکنند که در آینده بتوانند با استفاده از اطلاعات بهدستآمده از این منابع انتخاب بهتری داشته باشد از دیگر موارد استفاده میتوان به مثال زیر را بیان کرد:
“در سازمانهای بزرگ که اربابرجوعهای بسیاری از طریق شبکهی اینترنت به سازمان متصل میشوند و از خدمات سازمان استفاده میکنند، به علت بار زیاد ممکن است که مشکلات زیادی به وجود آید.
افراد مسئول در پی حل این قبیل مشکلها به دنبال رفع این مشکلها میگردند. این افراد با بررسی اطلاعاتی، که از طریق، log فایلهای خاصی به دست میآید، یک دسته اطلاعات آماری، از واکنش دستگاه در برابر میزان loadهای متفاوتی، که بر روی دستگاههای حساس شبکه به وجود میآید جمعآوری میکنند و از این اطلاعات در جلسات تصمیمگیری استفاده میکنند” .
در یک سازمان بررسی امنیت بسیار حیاتی و مهم است، بنابراین توصیه میشود که هرروزه به بررسی logهای مربوط به اتصال به سیستم پرداخته شود، با انجام چنین کاری شما متوجه خواهید شد که چه شخصی قصد داشته به سیستم متصل شود و اینکه چند بار برای اتصال تلاش کرده است و این کار ازلحاظ امنیت در یک سازمان بسیار کاربردی و کلیدی میباشد.
مورد دوم در رابطه با بررسی log فایلهایی است که به performance دستگاه مربوط میشود.
بنابراین برای دستگاههایی که اهمیت امنیتی دارند بهتر است که logفایلّهای مربوط به authenticationرا بررسی کنید و درصورتیکه تجهیزات ازنظر پردازشی اهمیت دارند شما میتوانید log فایلها مربوط به performance را مشاهده کنید، log فایلها در ابتدای همین مستند بررسی شده و توضیح داده شدهاند.[5]
[1] “LinuxLogFiles - Community Help Wiki.” [Online]. Available: https://help.ubuntu.com/community/LinuxLogFiles. [Accessed: 07-May-2016].
[2] “System log in OpenWrt [OpenWrt Wiki].” [Online]. Available: https://wiki.openwrt.org/doc/howto/log.essentials. [Accessed: 07-May-2016].
[3] “Manual:System/Log - MikroTik Wiki.” [Online]. Available: http://wiki.mikrotik.com/wiki/Manual:System/Log. [Accessed: 08-May-2016].
[4] “Which ESX log file,” VMwarewolf, 04-Jul-2007. .
[5] “Effective-Daily-Log-Monitoring-Guidance.pdf.” .
برای تماس با بنده میتوانید از لینک زیر استفاده کنید
