在CentOS 7中,我如何找到并查看所有系统日志,这些日志告诉我谁试图进入系统,谁进入,他们联系了哪些流程,他们完成了哪些事情,等等。我希望能够将每个活动链接到其中一个用户ID或远程IP地址。
我的var/log/目录包含许多资源,包括/var/log/messages和/var/log/secure,但是大多数文件都是类型的Binary (application/octet-stream),除非我将一些未知的查看程序与它们关联,否则操作系统不知道如何打开它们。另外,var/log/firewalld似乎没有包含有用的信息。
我可以找到我的应用程序,数据库和NginX / Apache生成的所有日志。
@Braiam我不是说它们都是二进制文件。我说过大多数都是二进制文件。例如,
—
CodeMed 2014年
/var/log/firewalld是一个似乎包含无用信息的文本文件。我通过单击GUI中的文件进行检查。首先左键单击以尝试打开,然后右键单击以查看属性以检查文件类型。
系统默认不执行此操作。您必须启用审核日志记录才能获取此信息。我在此A中展示了许多方法:unix.stackexchange.com/questions/75051/…。这里有一个很好的auditd概述:security.blogoverflow.com/2013/01/…。搜索别人,有很多。
—
slm
@slm我阅读了您的链接。谢谢。这将是一个Web服务器。我将需要跟踪以任何方式触摸数据库中的任何记录或文件系统特定部分中的任何文件的每个个人的身份。我还需要使用此日志记录数据来设置警报,这些警报将在未经授权的用户访问任何数据时触发。我知道如何进行应用程序和数据库级别的日志记录。我想设置日志记录,以便CentOS日志可以链接到Web容器日志,应用程序日志和数据库日志,也许可以通过ip。我应该如何提出有关此要求的CentOS级别的问题?
—
CodeMed 2014年
@CodeMed-和您一样,我声明它是CentOS 7。我认为您可以使用auditd进行所需的操作,可以对文件系统进行操作,还可以由本地文件系统上的用户调用哪些命令/进程。除了用户nginx,apache等,它不会显示任何其他内容。从应用程序级别执行X。您可能需要将2混合在一起。我也将其构造为systemd Q,其中CentOS 7是特定实例。
—
slm
/var/log,其中所有人都是Binaries吗?你确定?你怎么检查?