- •Введение
- •Необходимые ресурсы
- •Обзор файлов журналов
- •Пример файла журнала веб-сервера
- •Пример файла журнала операционной системы
- •Поиск файлов журналов в неизвестных системах
- •Мониторинг файлов журналов в режиме реального времени
- •Использование команды tail
- •Дополнительное средство: Journalctl
- •Вопросы для повторения
МИНИСТЕРСТВО ЦИФРОВОГО РАЗВИТИЯ, СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ
ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ «САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ТЕЛЕКОММУНИКАЦИЙ ИМ. ПРОФ. М.А. БОНЧ-БРУЕВИЧА»
Кафедра защищенных систем связи
ОТЧЁТ
по лабораторной работе № 3.2.1.4 на тему: Lab - Locating Log Files
по дисциплине «Безопасность компьютерных систем»
Выполнили: студенты группы ИКТК-96
Беляев Д.М.
Пухов Д. А. Орлов М.А.
Принял: доцент
Кушнир Д.В.
Лабораторная работа. Поиск файлов журналов
Введение
В этой лабораторной работе вы узнаете, как находить файлы журналов Linux и работать с ними.
Необходимые ресурсы
Виртуальная машина рабочей станции CyberOps
Обзор файлов журналов
Файлы журналов (также называются журналами) — это файлы, используемые компьютерами для регистрации событий. Программное обеспечение, фоновые процессы, службы или транзакции между службами, а также сама операционная система могут создавать такие события. Файлы журналов зависят от приложения, которое создает их. Соглашения, касающиеся файла журнала, определяются разработчиком приложения. Документация к программному обеспечению должна включать информацию о его файлах журналов.
Пример файла журнала веб-сервера
Так как файлы журналов, в сущности, являются способом отслеживания определенных событий, типы хранящейся в них информации зависят от приложения или службы, вызывающих эти события.
Рассмотрим одну запись файла журнала, приведенную ниже. Она была создана популярным веб-сервером Apache.
[Wed Mar 22 11:23:12.207022 2017] [core:error] [pid 3548:tid 4682351596] [client 209.165.200.230] File does not exist: /var/www/apache/htdocs/favicon.ico
Приведенная выше запись представляет событие, зарегистрированное веб-сервером Apache. Некоторые фрагменты этой информации играют важную роль в веб-транзакциях, например IP-адрес клиента, время и сведения о данной транзакции. Эту запись можно разбить на пять основных частей.
Метка времени. Этот фрагмент записи говорит о том, когда произошло событие. Очень важно, чтобы часы сервера были правильно синхронизированы, это позволит точнее выполнять перекрестную трассировку и отслеживание ответных событий.
Тип. Это тип события. В данном случае это сообщение об ошибке.
PID. Содержит информацию об идентификаторе процесса, используемом сервером Apache в данный момент.
Клиент. Здесь фиксируется IP-адрес клиента, приславшего запрос.
Описание. Содержит описание события.
По вышеприведенной записи журнала опишите, что произошло.
В среду марта 22 11:23:12.207022 2017 отметка времени 207022, тип события ошибка, клиент с ip адресом 209.165.200.230 запросил несуществующий файл с путем /var/www/apache/htdocs/favicon.ico
С помощью команды cat, как показано ниже, выведите список файлов журнала веб-сервера. Образец файла находится в каталоге /var/log.
[analyst@secOps ~]$ cat /var/log/logstash-tutorial.log
83.149.9.216 - - [04/Jan/2015:05:13:42 +0000] "GET /presentations/logstash-monitorama-2013/images/kibana-search.png HTTP/1.1" 200 203023 "http://semicomplete.com/presentations/logstash-monitorama-2013/" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/32.0.1700.77 Safari/537.36"
83.149.9.216 - - [04/Jan/2015:05:13:42 +0000] "GET /presentations/logstash-monitorama-2013/images/kibana-dashboard3.png HTTP/1.1" 200 171717 "http://semicomplete.com/presentations/logstash-monitorama-2013/" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/32.0.1700.77 Safari/537.36"
83.149.9.216 - - [04/Jan/2015:05:13:44 +0000] "GET /presentations/logstash-monitorama-2013/plugin/highlight/highlight.js HTTP/1.1" 200 26185 "http://semicomplete.com/presentations/logstash-monitorama-2013/" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/32.0.1700.77 Safari/537.36”
<некоторые выходные данные пропущены>
Является ли приведенный выше вывод веб-транзакцией? Объясните, почему вывод команды cat представлен в другом формате, отличном от записи, показанной в строке (а).
Да, это веб-транзакция. Формат другой, потому что сервис настроен на такой вид записи лога