各Unix平台日志审计的配置方法和步骤Word文档下载推荐.doc
- 文档编号:5215625
- 上传时间:2023-05-04
- 格式:DOC
- 页数:20
- 大小:218.50KB
各Unix平台日志审计的配置方法和步骤Word文档下载推荐.doc
《各Unix平台日志审计的配置方法和步骤Word文档下载推荐.doc》由会员分享,可在线阅读,更多相关《各Unix平台日志审计的配置方法和步骤Word文档下载推荐.doc(20页珍藏版)》请在冰点文库上搜索。
2 /etc/syslog.conf中SSIMSyslog接收地址的确定 18
3 预制脚本的下载和执行 19
3.1 预制脚本的下载 19
3.2 AIX平台自动配置脚本的执行 19
4 各Unix平台需要使用的脚本汇总 20
1安装部署方法和步骤
1.1日志采集
1.1.1采集内容
根据日志审计的要求,我们重点关注用户的登录、登出行为和系统守护程序的运行状态。
基于此,我们主要采集Unix系统的一下syslog日志:
nauth.info—用户认证、授权日志,包括用户登录、登出、切换等
nauthpriv.info—用户认证、授权日志,包括用户登录、登出、切换等,和auth功能类似,不同系统有所不同。
ndaemon.info—系统守护进程日志,比如ftp等
n用户登录成功和失败的日志。
1.1.2采集方式
n对于Unix系统自带的syslog日志,通过修改系统的syslog发送配置选项,由自身的syslog进程,将日志发送到SSIM日志采集机
n对于登录成功、失败日志,有些操作系统syslog不产生该类日志,通过定期执行脚本,读取登录日志文件,并发送到syslog进程,由其统一转发到SSIM日志采集机。
1.2Aix6.1部署
1.2.1Syslog配置
1.执行chssys-ssyslogd-a"
"
(由于做过安全加固,导致syslog发送不出来,需要通过该命令修改)
2.修改/etc/syslog.conf文件,在最后增加以下内容:
auth.info<tab>@<
SSIMSyslog接收地址>
authpriv.info<tab>@<
daemon.info<tab>@<
保存配置
注:
<
,根据服务器和SSIM采集机所处的网段进行调整
3.重启syslogd
stopsrc-ssyslogd
startsrc-ssyslogd
1.2.2Telnet成功登录采集脚本部署
1.增加采集日志脚本
增加采集脚本wtmp.sh到/var/adm目录下,wtmp.sh脚本内容请参考文件wtmp.sh:
修改wtmp.sh文件属性,增加可执行权限:
chmod+xwtmp.sh
2.增加crontab执行任务
以root用户登录系统,执行crontab–e增加以下crontab任务,每5分钟执行一次:
0,5,10,15,20,25,30,35,40,45,50,55****/var/adm/wtmp.sh>
/dev/null2>
&
1
1.2.3部署结果测试
在主机侧进行telnet登录成功和失败测试,在SSIM侧进行日志收集和解析监控,确保日志能够及时发送并成功解析。
1.3Aix5.3部署
1.3.1Syslog配置
1.3.2Telnet成功登录采集脚本部署
1.3.3部署结果测试
1.4Aix5.2部署
1.4.1Syslog配置
1.4.2Telnet成功登录采集脚本部署
1.4.3部署结果测试
1.5Aix4.3部署
1.5.1Syslog配置
4.执行chssys-ssyslogd-a"
5.修改/etc/syslog.conf文件,在最后增加以下内容:
6.重启syslogd
1.5.2Telnet成功登录采集脚本部署
3.增加采集日志脚本
4.增加crontab执行任务
1.5.3部署结果测试
1.6Solaris10部署
1.6.1Syslog配置
1.修改系统login参数
vi/etc/default/login
取消SYSLOG和SYSLOG_FAILED_LOGINS的注释,并设置相应的参数:
SYSLOG=YES
SYSLOG_FAILED_LOGINS=0
2.vi/etc/syslog.conf,在文件最后面增加以下两行:
auth.info<
tab>
@<
daemon.info<
3.重启一下syslogd:
svcadmrestart/system/system-log
1.6.2部署结果测试
1.7Solaris9部署
1.7.1Syslog配置
/etc/init.d/syslogstop
/etc/init.d/syslogstart
1.7.2部署结果测试
1.8Solaris8部署
1.8.1Syslog配置
1.8.2部署结果测试
1.9HPUX11.23部署
1.9.1Syslog配置
1.vi/etc/syslog.conf,在文件最后面增加以下两行:
保存退出
2.重启一下syslogd:
#/sbin/init.d/syslogdstop
#/sbin/init.d/syslogdstart
1.9.2Telnet成功登录采集脚本部署
增加采集脚本wtmps.sh到/var/adm目录下,wtmps.sh脚本内容请参考文件wtmps.sh:
修改wtmps.sh文件属性,增加可执行权限:
chmod+xwtmps.sh
0,5,10,15,20,25,30,35,40,45,50,55****/var/adm/wtmps.sh>
1.9.3Telnet失败登录采集脚本部署
增加采集脚本btmps.sh到/var/adm目录下,btmps.sh脚本内容请参考文件btmps.sh:
修改btmps.sh文件属性,增加可执行权限:
chmod+xbtmps.sh
0,5,10,15,20,25,30,35,40,45,50,55****/var/adm/btmps.sh>
1.9.4部署结果测试
1.10HPUX11.31部署
1.10.1Syslog配置
1.10.2Telnet成功登录采集脚本部署
1.10.3Telnet失败登录采集脚本部署
1.10.4部署结果测试
1.11HPUX11.11部署
1.11.1Syslog配置
1.11.2Telnet成功登录采集脚本部署
增加采集脚本wtmp.sh到/var/adm目录下,wtmp.sh脚本内容请参考文件wtmp.sh:
1.11.3Telnet失败登录采集脚本部署
增加采集脚本btmp.sh到/var/adm目录下,btmp.sh脚本内容请参考文件btmp.sh:
修改btmp.sh文件属性,增加可执行权限:
chmod+xbtmp.sh
0,5,10,15,20,25,30,35,40,45,50,55****/var/adm/btmp.sh>
1.11.4部署结果测试
1.12suse11部署
1.12.1Syslog配置
1.vi/etc/syslog-ng/syslog-ng.conf.in在最后面增加:
destinationssimloghost{
udp("
"
port(514));
};
filterauth_daemon{facility(auth,authpriv,daemon);
};
log{
source(src);
filter(auth_daemon);
destination(ssimloghost);
2.重启syslog-ng:
/etc/init.d/syslogstart
1.12.2Telnet成功登录采集脚本部署
1.12.3部署结果测试
1.13suse10部署
1.13.1Syslog配置
3.vi/etc/syslog-ng/syslog-ng.conf.in在最后面增加:
4.执行命令
SuSEconfig--modulesyslog-ng
5.重启syslog-ng:
1.13.2Telnet成功登录采集脚本部署
1.13.3部署结果测试
1.14suse9部署
1.14.1Syslog配置
1.vi/etc/syslog.conf,在文件最后面增加以下三行:
authpriv.info<
2.重启一下syslogd:
/sbin/rcsyslogrestart
1.14.2Telnet成功登录采集脚本部署
1.14.3部署结果测试
1.15SCO5.0.6部署
1.15.1Syslog配置
1.vi/etc/syslog.conf,在文件最后面增加以下三行:
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Unix 平台 日志 审计 配置 方法 步骤