Naplófájlok
elemzése
Mi az a naplózás: Autómata rendszerszolgáltatás, mely minden beállított eseményt eltárol egy szövegfájlban vagy adatbázisban, az eseményekhez időpontot, helyet és egyéb információkat rendel.
Mit csinál a rendszergazda: naplóz, mit csinálsz te, módosítod a naplófájlt. Miért? Mert ha behatolsz egy rendszerbe, annak nyoma marad a naplófájlban, vagy naplófájlokban, ezért neked ezeket törölni vagy módosítani kell.
A naplózás a mi szemszögünkből:
Egy normálisan felépített rendszer naplózza a kívülről befelé haladó
adatforgalmat. Ebből a naplófájlból deríthető ki, hogy érte-e bármilyen támadás
a szervert, ezen kívül naplózásra kerülnek az általános rendszer események is.
A naplófájl olvasása ajánlott, legalább kétszer naponta. A naplófájlok napi elemzése létszükséglet.
Megállapíthatóak belőlük a rendszer gyengeségei, az estleges betörési
próbálkozások, illetve a tényleges használati szokások. Az itt felsorolásra
került napló fájlok a legfontosabbak, ezek tanulmányozására sűrűn időt kell
szakítani. Az ezeken kívüli napló fájlok olvasása csak indokolt esetben
szükséges / PL: tényleges hiba elemzése, nem olvasható egy általános naplófájl
stb. /, illetve havi rendszerességgel egyszer azokat is érdemes átnézni.
NT rendszer naplózás:
Az NT
rendszer központi naplófájljait az Event Viewerrel lehet megnézni. Az ezeken
kívüli naplózást általában a telepített rendszerek maguk oldják meg. PL: MS SQL
szerver magát is naplózza. NT rendszerben a szerverek naplófájljait csak a
rendszergazda nézheti és törölheti, módosításra nincs lehetőség.
Három fő naplófájl van:
Balról
jobbra haladva a naplófáj elemzése:
Pontos
dátum, Percre pontos idő, A naplófájl típusa, Kategória, Event szám: minden
naplóbejegyzésnek másfajta száma van, a felhasználó: aki miatt a bejegyzés
készült, a számítógép: amiről a bejegyzés készült.
System: Itt tárolódnak a rendszer általános naplófájljai. Nem indul el egy
hardverelem, vagy szolgáltatás, ide kerülnek többszerveres környezet esetén a
többi szerver “megvagyok” bejegyzései.
Security: Bejelentkezés, kijelentkezés, jogosultságok megadása, megvonása stb.
Application: Különféle NT applikációs bejegyzések, mentő
szoftver, vírusirtó rendszer stb.
LINUX rendszer naplózás:
Linux
alatt a naplófájlok általában szövegfájlba történnek. Ezen kívül történhetnek
adatbázisba, konzolra stb. A naplófájlokat csak root jogú felhasználók nézhetik
meg és szerkeszthetik. Illetve néhány helyen normál user is megnézheti őket: ez
hasznos, mert sok mindent ki tudsz deríteni a rendszerrel kapcsolatban a
naplófájlról. PL: mikor jelentkezik be a rendszergazda, mikor a legnagyobb a
terhelés, fut-e egy szolgáltatás vagy nem stb.
Az
alábbiakban néhány példát sorolok fel a teljesség igénye nélkül:
- daemon.log
- kern.log
- messages
- syslog
auth.log:
Rendszer authentifikációs
napló. Tartalmazza, hogy mikor ki lépett be az aktuális szerverre.
Balról jobbra haladva
tartalmazza a következőket:
-
Pontos dátum / hónap ,nap ,óra, perc,
másodperc bontásban /
-
A szerver neve, ahol a bejelentkezés történt
-
A bejelentkezés száma
-
Felhasználói név
-
Konzol szám
Példa naplófájl részlet:
Mar 21 03:49:37 firewall1 login[183]: ROOT
LOGIN on `tty1'
Mar
21 04:07:55 firewall1 login[163]: ROOT LOGIN on `tty2'
daemon.log
A rendszer által futtatott
programok / daemonok / naplófájlja. Tipikus bejegyzések a gyorsítótár
tisztítás, konekció bezárása – megnyitása, konekciók leírása.
3TIMES bejegyzés:
A legutolsó naplóbejegyzésii próbálkozást megismételte háromszor, de nincs új
naplóbejegyzés.
Balról jobbra haladva
tartalmazza a következőket:
-
Pontos dátum / hónap ,nap ,óra, perc,
másodperc bontásban /
-
A szerver neve, ami naplózódik
- A tényleges log bejegyzés
- Egyéb kapcsolódó információk
Példa naplófájl részlet:
Mar 21 02:44:11 firewall1 last message
repeated 3 times
Mar 21 02:45:11 firewall1 last message
repeated 3 times
Mar 21 02:45:29 firewall1 named[111]: Cleaned
cache of 30 RRsets
Mar 21 02:45:29 firewall1 named[111]: USAGE
953624729 952537528 CPU=25.62u/12.98s CHILDCPU=0u/0s
Mar 21 02:45:29 firewall1 named[111]: NSTATS
953624729 952537528 0=9 A=123281 PTR=246 SRV=8
Mar 21 02:45:29 firewall1 named[111]: XSTATS
953624729 952537528 RR=12233 RNXD=1360 RFwdR=7990 RDupR=768 RFail=234 RFErr=0
RErr=0 RAXFR=0 RLame=45 ROpts=0 SSysQ=3224 SAns=115723 SFwdQ=8045 SDupQ=3597
SErr=28 RQ=123544 RIQ=0 RFwdQ=0 RDupQ=318 RTCP=45 SFwdR=7990 SFail=1 SFErr=0
SNaAns=115668 SNXD=54348
Mar 21 02:45:31 firewall1 ypbind[123]:
broadcast: RPC: Unable to send.
kern.log
Az operációs rendszer magjának naplófájla. Harverközeli és általános
rendszeresemények naplózódnak ide: megszakítások, regisztertartalmak, egyéb
hexadecimális bejegyzések.
Balról jobbra haladva tartalmazza
a következőket:
-
Pontos dátum / hónap ,nap ,óra, perc,
másodperc bontásban /
-
A szerver neve, ami naplózódik
-
A tényleges log bejegyzés
-
Egyéb kapcsolódó információk
Példa naplófájl részlet:
Mar 21 02:50:30 firewall1 kernel: Kernel
logging (proc) stopped.
Mar 21 02:50:30 firewall1 kernel: Kernel log
daemon terminating.
Mar 21 03:30:39 firewall1 kernel: klogd
1.3-3#31, log source = /proc/kmsg started.
Mar 21 03:30:39 firewall1 kernel: Cannot find
map file.
Mar 21 03:30:39 firewall1 kernel: No module
symbols loaded.
Mar 21 03:30:39 firewall1 kernel: Linux
version 2.2.14 (root@firewall1) (gcc version 2.7.2.3) #3 SMP Mon Mar 6 12:15:02
EST 2000
Mar 21 03:30:39 firewall1 kernel: Intel
MultiProcessor Specification v1.4
Mar 21 03:30:39 firewall1 kernel: Virtual Wire compatibility mode.
Mar 21 03:30:39 firewall1 kernel: OEM ID:
HP Product ID: LC 3 APIC at: 0xFEE00000
Mar 21 03:30:39 firewall1 kernel: Processor
#1 Pentium(tm) Pro APIC version 17
Mar 21 03:30:39 firewall1 kernel: I/O APIC #0
Version 17 at 0xFEC00000.
Mar 21 03:30:39 firewall1 kernel: Processors:
1
Mar 21 03:30:39 firewall1 kernel: mapped APIC
to ffffe000 (fee00000)
Mar 21 03:30:39 firewall1 kernel: mapped
IOAPIC to ffffd000 (fec00000)
Mar 21 03:30:39 firewall1 kernel: Detected
499155705 Hz processor.
Mar 21 03:30:39 firewall1 kernel: Console:
colour VGA+ 80x25
Mar 21 03:30:39 firewall1 kernel: Calibrating
delay loop... 498.07 BogoMIPS
Mar 21 03:30:39 firewall1 kernel: Memory:
63156k/65536k available (992k kernel code, 420k reserved, 916k data, 52k init)
Mar 21 03:30:39 firewall1 kernel: Dentry hash
table entries: 8192 (order 4, 64k)
Mar 21 03:30:39 firewall1 kernel: Buffer
cache hash table entries: 65536 (order 6, 256k)
Mar 21 03:30:39 firewall1 kernel: Page cache
hash table entries: 16384 (order 4, 64k)
Mar 21 03:30:39 firewall1 kernel: Pentium-III
serial number disabled.
Mar 21 03:30:39 firewall1 kernel: Checking
386/387 coupling... OK, FPU using exception 16 error reporting.
Mar 21 03:30:39 firewall1 kernel: Checking
'hlt' instruction... OK.
Mar 21 03:30:39 firewall1 kernel: POSIX
conformance testing by UNIFIX
Mar 21 03:30:39 firewall1 kernel: Pentium-III
serial number disabled.
Mar 21 03:30:39 firewall1 kernel: per-CPU
timeslice cutoff: 100.03 usecs.
Mar 21 03:30:39 firewall1 kernel: CPU1: Intel
Pentium III (Katmai) stepping 03
Mar 21 03:30:39 firewall1 kernel: calibrating
APIC timer ...
Mar 21 03:30:39 firewall1 kernel: ..... CPU
clock speed is 499.1709 MHz.
Mar 21 03:30:39 firewall1 kernel: .....
system bus clock speed is 99.8339 MHz.
Mar 21 03:30:39 firewall1 kernel: Error: only
one processor found.
Mar 21 03:30:39 firewall1 kernel: enabling
symmetric IO mode... ...done.
Mar 21 03:30:39 firewall1 kernel: ENABLING
IO-APIC IRQs
Mar 21 03:30:39 firewall1 kernel: init
IO_APIC IRQs
Mar 21 03:30:39 firewall1 kernel: IO-APIC (apicid-pin) 0-0, 0-9, 0-10, 0-11,
0-18, 0-20, 0-21, 0-22, 0-23 not connected.
Mar 21 03:30:39 firewall1 kernel: ..MP-BIOS
bug: 8254 timer not connected to IO-APIC
Mar 21 03:30:39 firewall1 kernel: ...trying
to set up timer as ExtINT... .. (found pin 0) ... works.
Mar 21 03:30:39 firewall1 kernel: number of
MP IRQ sources: 17.
Mar 21 03:30:39 firewall1 kernel: number of IO-APIC
#0 registers: 24.
Mar 21 03:30:39 firewall1 kernel: testing the
IO APIC.......................
Mar 21 03:30:39 firewall1 kernel:
Mar 21 03:30:39 firewall1 kernel: IO APIC
#0......
Mar 21 03:30:39 firewall1 kernel: ....
register #00: 00000000
Mar 21 03:30:39 firewall1 kernel:
....... : physical APIC id: 00
Mar 21 03:30:39 firewall1 kernel: ....
register #01: 00170011
Mar 21 03:30:39 firewall1 kernel:
....... : max redirection entries:
0017
Mar 21 03:30:39 firewall1 kernel:
....... : IO APIC version: 0011
Mar 21 03:30:39 firewall1 kernel: ....
register #02: 00000000
Mar 21 03:30:39 firewall1 kernel:
....... : arbitration: 00
messages
Általános rendszer üzenetek: naplózás indítása, leállítása, különféle
hardverelemek detektálása, mountolás, kernel üzenetek.
Balról jobbra haladva
tartalmazza a következőket:
-
Pontos dátum / hónap ,nap ,óra, perc,
másodperc bontásban /
-
A szerver neve, ami naplózódik
-
A tényleges log bejegyzés
- Egyéb kapcsolódó információk
Példa naplófájl részlet:
Mar 21 02:25:27 firewall1 -- MARK --
Mar 21 02:45:27 firewall1 -- MARK --
Mar 21 02:50:30 firewall1 kernel: Kernel
logging (proc) stopped.
Mar 21 02:50:30 firewall1 kernel: Kernel log
daemon terminating.
Mar 21 02:50:30 firewall1 exiting on signal
15
Mar 21 03:30:39 firewall1 syslogd 1.3-3#31:
restart.
syslog
Általános rendszer üzenetek,
titkosítással kapcsolatos rendszer üzenetek, statisztikai adatok.
Balról jobbra haladva
tartalmazza a következőket:
-
Pontos dátum / hónap ,nap ,óra, perc,
másodperc bontásban /
-
A szerver neve, ami naplózódik
-
A tényleges log bejegyzés
- Egyéb kapcsolódó információk
Példa naplófájl részlet:
Mar 21 06:25:27 firewall1 syslogd 1.3-3#31:
restart.
Mar 21 06:25:39 firewall1 ypbind[123]:
broadcast: RPC: Unable to send.
Mar 21 06:25:59 firewall1 ypbind[123]:
broadcast: RPC: Unable to send.
Mar 21 06:26:59 firewall1 last message
repeated 3 times
Mar 21 06:27:59 firewall1 last message
repeated 3 times
Mar 21 06:28:59 firewall1 last message
repeated 3 times
Mar 21 06:29:59 firewall1 last message
repeated 3 times
Mar 21 06:30:59 firewall1 last message
repeated 3 times
Mar 21 06:31:59 firewall1 last message
repeated 3 times
Mar 21 06:32:59 firewall1 last message
repeated 3 times
Mar 21 06:33:59 firewall1 last message
repeated 3 times
Mar 21 06:34:59 firewall1 last message
repeated 3 times
Mar 21 06:35:59 firewall1 last message
repeated 3 times
Mar 21 06:36:59 firewall1 last message
repeated 3 times
Mar 21 06:37:59 firewall1 last message
repeated 3 times
Mar 21 06:38:00 firewall1
/USR/SBIN/CRON[3411]: (mail) CMD ( if [
-x /usr/sbin/exim ]; then /usr/sbin/exim -q >/dev/null 2>&1; fi)
Mar 21 06:38:19 firewall1 ypbind[123]:
broadcast: RPC: Unable to send.
Mar 21 06:38:59 firewall1 last message
repeated 2 times
Mar 21 06:39:59 firewall1 last message
repeated 3 times
Mar 21 06:40:00 firewall1
/USR/SBIN/CRON[3418]: (root) CMD (test -f /proc/modules && /sbin/rmmod
-a)
Mar 21 06:40:14 firewall1 named[111]: Cleaned
cache of 137 RRsets
Mar 21 06:40:14 firewall1 named[111]: USAGE
953638814 953628014 CPU=1.8u/0.74s CHILDCPU=0u/0s
Mar 21 06:40:14 firewall1 named[111]: NSTATS
953638814 953628014 A=5329 PTR=52
Mar 21 06:40:14 firewall1 named[111]: XSTATS
953638814 953628014 RR=685 RNXD=66 RFwdR=417 RDupR=158 RFail=0 RFErr=0 RErr=0
RAXFR=0 RLame=0 ROpts=0 SSysQ=75 SAns=4321 SFwdQ=895 SDupQ=15181 SErr=262
RQ=5381 RIQ=0 RFwdQ=0 RDupQ=202 RTCP=0 SFwdR=417 SFail=0 SFErr=0 SNaAns=4313
SNXD=2113
Mar 21 06:40:16 firewall1 sshd[137]: log:
Generating new 768 bit RSA key.
Mar 21 06:40:17 firewall1 sshd[137]: log: RSA
key generation complete.
Mar 21 06:40:19 firewall1 ypbind[123]:
broadcast: RPC: Unable to send.
Mar 21 06:40:59 firewall1 last message
repeated 2 times
Mar 21 06:41:07 firewall1 sshd[2818]: log: Closing
connection to 192.168.2.61
Mar 21 06:41:19 firewall1 ypbind[123]:
broadcast: RPC: Unable to send.
Mar 21 06:41:59 firewall1 last message
repeated 2 times
Itt egy elterjedt LINUX Proxy kiszolgáló alkalmazás a JUNKBUSTER naplózását láthatod.
/etc/junkbuster/log
Tartalmazza a JUNKBUSTER
helyettesítő kiszolgáló által kezelt, gyorsítótárba került adatok naplózását:
milyen címet értek el és sikeres volt-e a konnekció, avagy nem.
Balról jobbra haladva
tartalmazza a következőket:
-
/usr/sbin/junkbuster: a helyettesítő
kiszolgáló rendszer
-
Konnekció elfogadás - elutasítsá
-
www cím a kapcsolat célja
-
A tranzakcióssikeres volt-e vagy sikertelen
Példa naplófájl részlet:
/usr/sbin/junkbuster: accept connection ...
/usr/sbin/junkbuster: connect to: www.msn.co.uk ... OK
/usr/sbin/junkbuster: accept connection ...
/usr/sbin/junkbuster: connect to: www.msn.co.uk ... OK
/usr/sbin/junkbuster: accept connection ...
/usr/sbin/junkbuster: connect to: www.extra.hu ... OK
OK
OK
OK
/usr/sbin/junkbuster: accept connection ...
/usr/sbin/junkbuster: connect to: www.extra.hu ... OK
/usr/sbin/junkbuster: accept connection ...
/usr/sbin/junkbuster: connect to: www.szaknevsor.hu ... OK
OK
OK
/usr/sbin/junkbuster: accept connection ...
/usr/sbin/junkbuster: connect to: home.microsoft.com ... OK
OK
/usr/sbin/junkbuster: accept connection ...
/usr/sbin/junkbuster: connect to: www.extra.hu ... OK
OK
/usr/sbin/junkbuster: accept connection ...
/usr/sbin/junkbuster: connect to: www.extra.hu ... OK
OK
/usr/sbin/junkbuster: accept connection ...
/usr/sbin/junkbuster: connect to: www.extra.hu ... OK
OK
/usr/sbin/junkbuster: accept connection ...
/usr/sbin/junkbuster: connect to: stop.extra.hu ... OK
OK
/usr/sbin/junkbuster: accept connection ...
/usr/sbin/junkbuster: connect to: www.extra.hu ... OK
/usr/sbin/junkbuster: accept connection ...
/usr/sbin/junkbuster: connect to: www.hungariantop1000.com ... OK
/usr/sbin/junkbuster: accept connection ...
/usr/sbin/junkbuster: connect to: www.extra.hu ... OK
OK
OK
OK
/usr/sbin/junkbuster: accept connection ...
/usr/sbin/junkbuster: connect to: www.extra.hu ... OK
/usr/sbin/junkbuster: accept connection ...
/usr/sbin/junkbuster: connect to: www.extra.hu ... OK
OK
OK
/usr/sbin/junkbuster: accept connection ...
/usr/sbin/junkbuster: connect to: stop.extra.hu ... OK