15、事件日志管理与安全保障
事件日志管理与安全保障
自定义应用日志报告错误处理
在请求自定义应用(customapp)报告时可能会出现错误。当前目录下的customapp.conf文件会指定一个日志文件组,进而明确需要检查的日志文件。/logfiles/目录包含日志文件组的配置文件,这些文件定义了哪些日志文件属于特定组,同时也指定了特定文件存档的位置。因此,可使用/logfiles/custom.conf来指定在对 customapp 进行报告时应检查的日志文件,这些日志文件可以是多个独立的文件,例如/var/logs/custom1.log和/var/logs/custom2.log。
由于不同应用所需的精确过滤器和配置文件各不相同,所以无法针对特定环境提供具体说明。若要为特定应用自定义日志监控(LogWatch),可参考 此说明 。此外,LogWatch 用户社区可能已为常见应用生成了所需的定制内容,可在 LogWatch 邮件列表 上获取帮助和参与讨论。
事件日志安全保障的重要性
无人查看的事件日志价值不大,同样,不可信的事件日志也几乎没有价值。在尝试重构一系列事件时,必须确保日志未被篡改。黑客获取系统访问权限后,通常首先会删除日志,这不仅会使法律追责变得困难,而且在不清楚访问途径的情况下,保障系统安全以防止再次入侵也会更加棘手。
日志可靠性问题主要涉及两个方面:保管链和日志完整性。这两个方面相互