網(wǎng)絡(luò)管理日志文件的查看與備份解析

網(wǎng)絡(luò)管理日志文件的查看與備份解析浙江省上虞中學(xué)阮其良摘要：網(wǎng)絡(luò)（網(wǎng)站）安全是每一位網(wǎng)管員必須面對(duì)的安全問(wèn)題，而網(wǎng)絡(luò)（網(wǎng)站）日志是幫助網(wǎng)管員快速找到導(dǎo)致安全事故原因的重要手段，作為網(wǎng)管員必須具備對(duì)日志文件的察看、分析、處理的能力。本文通過(guò)對(duì)網(wǎng)絡(luò)管理中涉及到的常用日志分析，詳細(xì)列出網(wǎng)絡(luò)管理中常用日志（服務(wù)器系統(tǒng)日志、服務(wù)器訪問(wèn)日志、數(shù)據(jù)庫(kù)事務(wù)日志、網(wǎng)絡(luò)進(jìn)出管理日志等）的備份與查看方法，便于更好地對(duì)網(wǎng)絡(luò)進(jìn)行安全管理與安全維護(hù)。關(guān)鍵字：網(wǎng)絡(luò)網(wǎng)站服務(wù)器日志備份查看隨著信息技術(shù)的快速發(fā)展。越來(lái)越多的單位都在構(gòu)建網(wǎng)絡(luò)，建設(shè)自己的網(wǎng)站。但在網(wǎng)站建設(shè)與網(wǎng)絡(luò)管理中，必定會(huì)碰到安全管理問(wèn)題。而服務(wù)器和網(wǎng)絡(luò)（網(wǎng)站）日志是解決處理安全問(wèn)題的第一手資料。日志即日記，網(wǎng)絡(luò)日志即記載網(wǎng)絡(luò)管理中服務(wù)器、網(wǎng)站、網(wǎng)絡(luò)狀態(tài)的日記，網(wǎng)站服務(wù)器及網(wǎng)絡(luò)管理日志對(duì)每個(gè)站長(zhǎng)來(lái)說(shuō)都是很重要的，網(wǎng)站服務(wù)器日志記錄了web服務(wù)器接收處理請(qǐng)求以及運(yùn)行時(shí)的錯(cuò)誤等各種原始信息。通過(guò)對(duì)日志進(jìn)行統(tǒng)計(jì)、分析、綜合，就能有效地掌握服務(wù)器的運(yùn)行狀況，發(fā)現(xiàn)和排除錯(cuò)誤原因、了解客戶訪問(wèn)分布等，便于更好的加強(qiáng)系統(tǒng)的維護(hù)和管理。下面對(duì)各類常用的服務(wù)器或網(wǎng)絡(luò)管理日志作系統(tǒng)分析。一、服務(wù)器系統(tǒng)日志服務(wù)器系統(tǒng)日志相當(dāng)于服務(wù)器的黑盒子，在這些事件日志里，存放著一些非常重要的信息，因?yàn)樗涗浿杏脩舻卿浄?wù)器的操作，包括被審計(jì)了的操作等，對(duì)于分析入侵很有幫助。默認(rèn)狀態(tài)下服務(wù)器系統(tǒng)日志有三種類型的事件日志，即安全日志，系統(tǒng)日志，應(yīng)用日志。服務(wù)器系統(tǒng)日志查看：通過(guò)事件查看器查看，方法是點(diǎn)擊“開(kāi)始”——“設(shè)置”——“控制面板”——“管理工具”——“事件查看器”，打開(kāi)此查看器后，列出了安全日志，系統(tǒng)日志，應(yīng)用日志等常用日志，打開(kāi)每一種日志，詳細(xì)記錄了事件類型、日期、時(shí)間、類源、分類、事件、用戶、計(jì)算機(jī)。通過(guò)這些信息可以清楚地看到該服務(wù)器運(yùn)行狀態(tài)等。如圖一（圖一）服務(wù)器系統(tǒng)日志備份：系統(tǒng)日志文件存放在“%systemroot%\system32\config”文件夾內(nèi)，應(yīng)用程序日志、安全日志和系統(tǒng)日志對(duì)應(yīng)的文件名為AppEvent.evt、SecEvent.evt和SysEvent.evt。如果要備份日志，可以通過(guò)打開(kāi)事件查看器，右擊相應(yīng)的日志后選擇“另存日志文件“即可，備份的日志文件格式為.evt文件。服務(wù)器訪問(wèn)日志1、WEB服務(wù)器WEB服務(wù)器網(wǎng)站訪問(wèn)日志記載web服務(wù)器接收處理請(qǐng)求以及運(yùn)行時(shí)錯(cuò)誤等各種原始信息，通過(guò)該日志可以了解網(wǎng)站訪問(wèn)的基本情況，如用戶對(duì)網(wǎng)站訪問(wèn)的日期、時(shí)間、IP地址、端口、操作系統(tǒng)、瀏覽器版本、訪問(wèn)你網(wǎng)站的哪個(gè)頁(yè)面，是否訪問(wèn)成功等等信息。日志文件默認(rèn)情況下以W3C擴(kuò)充日志文件格式存放在%WinDir%\System32\LogFiles的文件夾內(nèi)，以.log為擴(kuò)展名的文件。查看方法：WEB服務(wù)器應(yīng)用程序日志文件存放在%WinDir%\System32\LogFiles的文件夾內(nèi)，可以直接用記事本等文本編輯軟件打開(kāi)。打開(kāi)后文本格式如下：（圖二）該日志文件中有一點(diǎn)需要注意，即日志上的時(shí)間由于默認(rèn)時(shí)區(qū)設(shè)置上的問(wèn)題，與實(shí)際時(shí)間相差8個(gè)小時(shí)，如日志上是02：49：32，那么實(shí)際訪問(wèn)時(shí)間為上午10：49：32，即上午10點(diǎn)49分32秒，備份方法：該日志備份需要在IIS管理上作些設(shè)置，點(diǎn)擊開(kāi)始--設(shè)置--控制面板—管理工具--Internet服務(wù)管理器，鼠標(biāo)右點(diǎn)對(duì)應(yīng)的服務(wù)器站點(diǎn)—“屬性”菜單—“WEB站點(diǎn)”標(biāo)簽，在“啟用日志記錄”處選中，并可選擇日志文件格式。點(diǎn)擊右邊“屬性按鈕，可以詳細(xì)設(shè)置日志文件時(shí)間間隔、日志文件存目錄、日志文件記錄內(nèi)容等。如圖三（圖三）如果網(wǎng)站訪問(wèn)量比較大，每天日志文件的容量也很大，為保證系統(tǒng)盤(pán)及日志文件的安全，一般將日志文件存放到系統(tǒng)盤(pán)以外的其他磁盤(pán)上。2、FTP服務(wù)器IIS自帶的FTP功能，對(duì)于IIS自帶的FTP，其日志的屬性設(shè)置、查看、備份等方法基本W(wǎng)EB服務(wù)器訪問(wèn)日志類似。目前用得比較普遍的FTP服務(wù)器是采用Server-U服務(wù)器。FTPServer-U服務(wù)器的日志備份與查看方法如下，打開(kāi)Server-U服務(wù)，點(diǎn)擊對(duì)應(yīng)域的FTP服務(wù)中的“設(shè)置”，選擇右側(cè)窗口的“記錄”標(biāo)簽（如圖四），（圖四）從圖中可以清晰地看到有關(guān)日志記錄備份的一些設(shè)置。左列部分選擇需記錄日志的內(nèi)容或信息，右列部分設(shè)置日志文件的保存位置、文件格式、文件命名規(guī)則、文件記錄周期等。上圖中說(shuō)明日志文件每天新建一個(gè)日志文件，存放在E盤(pán)的ftprizhi文件夾，以20100614.txt格式保存，文件中記錄了系統(tǒng)信息、安全信息、上傳下載信息及IP地址信息等。該文件可以用記事本或文本編輯器打開(kāi)查看。如下圖五：（圖五）從上述信息中可以清楚地看到誰(shuí)在什么時(shí)間登錄FTP，并上傳或下載了什么文件。3、數(shù)據(jù)庫(kù)服務(wù)器數(shù)據(jù)庫(kù)服務(wù)器類型較多，有SQL-Server服務(wù)器、MYSQL服務(wù)器、Oracle服務(wù)器，本文以目前網(wǎng)站建設(shè)中最常用的SQL-SERVER服務(wù)器為例。SQLserver的事務(wù)日志記錄數(shù)據(jù)庫(kù)所有操作的內(nèi)容。通過(guò)事務(wù)日志備份，我們可以在數(shù)據(jù)庫(kù)出現(xiàn)故障時(shí)，將數(shù)據(jù)恢復(fù)到一個(gè)特定的時(shí)間點(diǎn)上。當(dāng)恢復(fù)一個(gè)事務(wù)日志時(shí)，SQLServer回滾事務(wù)日志記錄的對(duì)數(shù)據(jù)庫(kù)進(jìn)行的所有操作。當(dāng)達(dá)到事務(wù)日志的結(jié)尾時(shí)，數(shù)據(jù)庫(kù)就恢復(fù)到所要記錄時(shí)的狀態(tài)。一般在建立數(shù)據(jù)庫(kù)時(shí)，事務(wù)日志也同時(shí)建立，默認(rèn)安裝下，事務(wù)日志保存在c:\ProgramFiles\MicrosoftSQLServer\MSSQL\Data\文件夾內(nèi)，以.LOG為擴(kuò)展名。為保證數(shù)據(jù)庫(kù)的安全，在備份數(shù)據(jù)庫(kù)時(shí)也要將事務(wù)日志進(jìn)行備份，具體操作可通過(guò)SQLServerEnterpriseManager方便實(shí)現(xiàn)。開(kāi)始——程序——MicrosoftSQLServer——企業(yè)管理器，在控制臺(tái)根目錄下打開(kāi)所對(duì)應(yīng)的數(shù)據(jù)庫(kù)，然后點(diǎn)擊“管理”目錄下的“數(shù)據(jù)庫(kù)維護(hù)計(jì)劃”，如下圖六所示。點(diǎn)擊“事務(wù)日志備份標(biāo)簽”，在“備份數(shù)據(jù)庫(kù)事務(wù)日志”的選項(xiàng)上打鉤，然后根據(jù)需要設(shè)置下面的備份選項(xiàng)。如備份文件存放位置、備份文件擴(kuò)展名（TRN）、備份周期等。對(duì)于SQLSERVER操作上的日志則記錄在“管理”——“SQLSERVER日志”，點(diǎn)擊某個(gè)記錄日志，則在右側(cè)窗口中打開(kāi)詳細(xì)的操作信息。如圖七：（圖六）（圖七）三、網(wǎng)絡(luò)出入管理日志前面提到的日志側(cè)重于服務(wù)器本身，但在日常網(wǎng)絡(luò)管理中，更需要對(duì)網(wǎng)絡(luò)日志進(jìn)行管理，便于更好的監(jiān)控對(duì)內(nèi)部網(wǎng)和Internet之間互訪信息，如IP地址、網(wǎng)絡(luò)流量、訪問(wèn)站點(diǎn)等，保證網(wǎng)絡(luò)安全和穩(wěn)定。在網(wǎng)絡(luò)監(jiān)控管理和控制中通常是用防火墻或網(wǎng)絡(luò)監(jiān)控軟件等。因此及時(shí)備份記錄和查看分析網(wǎng)絡(luò)管理日志十分重要，下面主要介紹防火墻日志查看與備份管理。防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它可通過(guò)監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況，以此來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的安全。防火墻是網(wǎng)絡(luò)設(shè)備，為了不影響其性能，一般使用單獨(dú)的日志服務(wù)器來(lái)記錄處理防火墻的日志，這樣日志查詢和審計(jì)的功能就可以做得非常強(qiáng)大和細(xì)致，處理的數(shù)據(jù)量也大。一般通過(guò)專用軟件將防火墻的日志保存到日志報(bào)務(wù)器，日志的備份和查看分析就在日志服務(wù)器上進(jìn)行。常用的專用軟件有Kiwi_Syslog或3cDaemon等，3cDaemon占用的設(shè)備系統(tǒng)資源較大，對(duì)日志服務(wù)器的性能要求很高。Kiwi_Syslog比較方便，在防火墻上設(shè)置將日志備份到該服務(wù)器上，即將防火墻系統(tǒng)日志（syslog）IP地址設(shè)成安裝Kiwi_Syslog軟件的服務(wù)器IP地址。Kiwi_Syslog安裝非常簡(jiǎn)單，需要注意的是，建議安裝成系統(tǒng)服務(wù)，而不是應(yīng)用軟件，這有助于比較有效的來(lái)記錄大流量的數(shù)據(jù)．設(shè)置方法如下，打開(kāi)Kiwi_Syslog程序，點(diǎn)擊工具欄上的紅框內(nèi)圖標(biāo)（如圖八），得到日志文件的設(shè)置界面（如圖九）。在填寫(xiě)路徑的時(shí)候，需要注意，藍(lán)色線所劃是指按系統(tǒng)時(shí)間生成目錄，褐色線所畫(huà)是指按日志類別，不同代碼生成不同的TXT日志文件．你可以直（圖八）（圖九）接把代碼寫(xiě)進(jìn)去，也可以通過(guò)insertautosplitvalue”來(lái)進(jìn)行。這樣設(shè)置后，則每天在F盤(pán)的fw-log文件夾下生成一個(gè)以系統(tǒng)日期命名的日志文件夾，文件夾內(nèi)保存了當(dāng)天的防火墻日志Debug.txt