入侵偵測系統 syslog Sagan 紀錄檔 IDS IPS IDP Log 日誌 資安 安全

以sagan解析網站Log 即時監控惡意存取行為

2014-10-21
檢視系統紀錄,透過異常的狀況找出惡意存取的行為,看似簡單其實非常複雜,若沒有相關工具輔助,猶如大海撈針。對此,本文將網站紀錄轉換成syslog格式,並傳遞給sagan比對,善用sagan所定義的規則來找出惡意的網站存取行為。
身為系統管理者,應該沒有人會忽視系統紀錄(Log)的重要性,隨時檢視系統紀錄來查看是否有異常的紀錄,相信也是系統管理者每天常態的工作項目之一,但原始的系統紀錄過於繁雜,如果沒有工具的輔助,是很難從中看出任何端倪,也因此有了sagan之類的工具。

sagan是一套利用即時監控系統Log紀錄來與所設定的規則(Rule)比對,並記錄符合規則樣式的主機型入侵偵測系統,但其美中不足的地方在於,sagan僅支援syslog格式的紀錄,對網站的紀錄格式則有力有未逮之憾,因此本文將介紹如何將網站紀錄轉換成syslog格式,並傳遞給sagan做為比對,利用sagan所定義的規則來辨識出惡意的網站存取行為。表1所示為本次所使用到軟體。

表1 實作所需軟體

syslog說明

syslog是一種應用在網路中傳遞紀錄檔訊息的標準,採用主從式(Client-Server)的架構,其中用戶端(Client)利用UDP或TCP的通訊協定傳送出一個標準的文字訊息(小於1,024位元組)到伺服器端(Server)來進行儲存。

由於其採用主從式架構,所以可以很容易地實現遠端儲存的功能(將個別主機上的相關syslog資訊儲存到遠端的syslog伺服器上)。基本上,除非有做特殊的處理,不然相關syslog的日誌資料都是以明碼型態來傳送。

syslog將資訊分成四個欄位,如圖1所示。其中的「時間」欄位為記錄此syslog事件發生的日期與時間,「主機」欄位記錄發生此事件的主機名稱,如圖1中的spampc,「程式名稱」欄位則記錄發生此事件的服務名稱,如圖1內的sshd,而最後的「內文」欄位,則記錄訊息的實際描述資料內容。


▲圖1 syslog資訊內容格式。

在說明完syslog的格式後,接著介紹Linux常用的紀錄檔案名稱與說明,如表2所示,建議讀者平時就要多留意這些檔案的內容,以便能更詳盡地了解系統的情況。

表2 Linux常用紀錄檔案名稱與說明


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!