Log Parser Lizard是基于Log Parser的图形化工具
界面友好,早就听过该软件的大名,一直没用过,今天要通过分析日志找到删除某个文件的人,当然前提是你的文件要开启对象访问设置(文件夹属性-安全-高级-审核-添加对象访问设置,详细请google吧)
方法如下,先安装好Log Parser Lizard,事件类型选择Windows Event Log,在最下方的Query中写入如下查询语句
select * from D:\yourname.evt where EventID=560 and Strings like ‘%关键字%’ and Message like ‘%DELETE%’
注:请把‘和’替换为单引号
D:\yourname.evt是你的日志文件,或者直接输入System则为读取本机系统日志
EventID=560是限定事件ID,560指的文件特权操作,当然包含了删除动作,呵呵
Strings like ‘%关键字%’ 设置文件或文件夹关键字过滤,这里输入被删文件文件名就可以了
Message like ‘%DELETE%’ 这个限定了文件特权动作为删除动作
按此方式就可以分析出来限定关键字文件的删除日志,可以查到哪个IP和帐号删除的文件
近几年,国内各大电信运营商因为利益驱使纷纷开始在DNS服务器上搞域名劫持,通常的现象就是我们访问一个不存在的域名(比如我们打错了),运营商会自动跳转到一个智能域名纠错的网站,通常还包含有各种广告,很是烦人。
有时候由于一些网站使用CDN加速,甚至是正常的域名偶尔也会解析到广告IP,解决这种问题的最根本办法就是建立自己的DNS缓存服务器,我所在的公司就因为经常遇到DNS劫持和DNS服务器服务不稳定等问题而不得不自行搭建DNS缓存服务器来一劳永逸的解决问题。
不过很多个人用户无法搭建自己的DNS缓存服务器,针对个人用户有两种解决办法,一是使用自制(Linux)系统的路由器进行设置,比如Tomato固件的路由器就有类似功能,首先ping一个不存在的域名,记下解析到的IP,然后到管理界面,找到Advanced-DHCP/DNS,找到Dnsmasq,填入bogus-nxdomain=60.19.29.21
60.19.29.21这个IP是我的宽带运营商的广告IP,请按自己的做修改,可以填写多行,运营商定期会更换IP的,我就把60.19.29.21-60.19.29.25都填进去了,保存即可生效,再次ping一个不存在的域名,就会提示不存在了。
如果没有自制系统的路由器,那就需要更改本机的DNS了,改成opendns或者其他的,或者自己改hosts文件,把广告的域名都解析到本地127.0.0.1这个IP上。
出于安全考虑,日志变得至关重要,配置一个中心日志服务器用来收集整个网络的日志变得必要起来。
本文介绍如何在Redhat AS5上安装配置基于syslog-ng的日志服务器。
首先做基本系统安装,这个略过,如过不会请google搜索。
由于系统自带的syslog过于陈旧,功能不够强大,更主要的,对于我来说,它不能将不同机器的日志分开不同文件存储。
所以我选择syslog-ng,它可以通过过滤器将不同机器不同内容的日志进行分割存储在不同的文件中。
安装eventlog和syslog-ng两个软件,如果有问题,可以强制使用下面命令进行安装,有一定风险,如果你知道你在干什么的话
rpm -ivh eventlog-0.2.7-3.el5.i386.rpm
rpm -Uvh –replacefiles syslog-ng-2.1.4-1.el5.i386.rpm
你下载的版本号可能和我的不一样,不过没关系,呵呵,语法参数一样的,开始我想先卸载syslog,结果发现它要卸载一百多个软件,无奈才使用上面的参数强制替换安装的。
接下来是配置,只有一个/etc/syslog-ng/syslog-ng.conf
需要修改的内容,请直接按下面的配置修改或增加
options {
sync (0);
time_reopen (10);
log_fifo_size (1000);
long_hostnames (off);
use_dns (no);
use_fqdn (no);
create_dirs (no);
keep_hostname (no);#此处建议改为no,否则可能记录到的是计算机名,不利于统计分析
};
source s_sys {
file (\”/proc/kmsg\” log_prefix(\”kernel: \”));
unix-stream (\”/dev/log\”);
internal();
udp(ip(0.0.0.0) port(514));#修改或增加这一行,允许外部数据进来
};
#Linux主机登录日志过滤存储
destination d_auth_1 { file(\”/var/log/192.168.0.1_secure\”); };#此处设定存储位置
filter f_auth_1 { facility(authpriv) and host(\”192.168.0.1\”); };#此处设定过滤内容,authpriv和IP必须是192.168.0.1
log { source(s_sys); filter(f_auth_1); destination(d_auth_1); };#此处读取前面的设定写入日志文件
#Windows服务器日志存储
destination d_auth_2{ file(\”/var/log/192.168.0.2_secure\”); };#设定日志存储位置和名称
filter f_auth_2 { host(\”192.168.0.2\”); };#过滤IP为192.168.0.2的记录
log { source(s_sys); filter(f_auth_0.2); destination(d_auth_0.2); };#存储符合条件的日志到定义的日志文件
最后重启syslog-ng服务即可
/etc/init.d/syslog-ng restart
注:别忘了停用原来的syslog服务,和把syslog-ng改为自动启动