使用Stunnel保护syslog-ng服务器(图)

五、其他系统日志文件

    有两个系统日志文件与syslog守护进程完全无关：/var/run/utmp和/var/log/wtmp。这两个日志文件记录的是系统登录事件。utmp文件记录着系统的当前状态，finger、write或who等命令都会用到这个文件。utmp文件的man文档警告说，很多系统程序都“愚蠢地依赖本文件的完整性”而从未考虑过如果utmp文件变成一个全局可写的文件时该怎么办。/var/log/wtmp文件记录着系统登录信息。如果你想知道哪些人登录过系统、登录活动有什么规律，这个文件可是无价之宝。这个文件是一个二进制文件，所以不能用文本编辑器查看它的内容信息。要想查看utmp文件的内容，可以使用“last|more”命令，这可以查看到当前系统里有哪些已经登录的用户以及他们从哪里登录进来。如果这个文件莫名其妙地变成了空白或者根本不存在，就是一个你已经被“黑”的信号。截断或删除这些文件是攻击者试图掩盖踪迹时的一种常用伎俩。

六、防止日志信息过载的准则

    1.取得适合自己的工具

    优秀的工具可以最大限度的节省时间，它们可以分类管理日志信息、在日志信息中进行复杂的条件搜索、根据管理员设定的条件自动分拣需要的信息并反馈给管理员等。 就一般日志系统来说，基于不同的技术架构有不同的工具可供选择，应尽量选择与自己的基础设施匹配的管理工具。 这意味着如果企业应用的基础管理设施应用了很多开放源代码的产品，那么同样地在管理工具上也应优先开源解决方案，这样往往可以更好地实现融合、更多地从开源社区获取力量同时降低经济投入。另外，还有一些增强的Syslog工具可供使用，最著名的是Syslog-NG，这是对传统Syslog的一个增强版本，弥补了传统Syslog不支持身份验证、只能使用UDP（用户数据报协议，是ISO参考模型中一种无连接的传输层协议）进行不可靠传输等问题。在应用这类工具时需要注意平衡先进功能与兼容性，以防止基于Syslog的设备不能与Syslog-NG协同工作这样的问题。

    以合理的规范组织日志信息：

    当日志信息达到极大的数量时，分类是必要的，但一定要注意制订灵活的、容易变更的分类规范。一般在一个分类体系当中，不要应用过多的分类维度。通常应用日志源、日志事件类型、重要程度等几个基本的维度是可以构建有效的日志分类体系的，过多的维度会使得日志信息难于管理，那样做的话管理员必须在处理大量信息的同时兼顾更多的关于分类的信息。

    订立可度量的评估规则：

    例如管理员ABC设定他每天处理系统管理日志信息的时间不超过总工作时间的20%、处理用户提交问题的时间不超过总工作时间的15%（包含回复问题）、处理企业制度变更等原因造成的信息不超过总工作时间的5%。这样管理员ABC可以更好的进行自我管理并平衡工作时间与信息量。

    一般来说，当处理信息的时间超过了自己的旧有评估指标时，很可能意味着系统中出现了新的问题，或者管理员采取的工作方法已经不适合当前的工作环境变化，这样管理员可以及时做出调整。