如何追蹤黑客的網絡攻擊
2015-11-13 16:35:05
來源:
[導讀] 網絡是個大舞臺,這個舞臺中不光有安全人員也有黑客份子所組成。對于一些重要的部門,一旦網絡遭到攻擊,如何追蹤網絡攻擊,追查到攻擊者
等號表示只記錄目前這一等級,其上的等級不要記錄。例如剛剛的例子,平常寫下info等級時,也會把位于info等級上面的notice、 err.warning、crit、alert、emerg等其他等級也記錄下來。但若你寫=info則就只有 記錄info這一等級了。
3.驚嘆號(!)
驚嘆號表示不要記錄目前這一等級以及其上的等級。 一般的syslogd都提供下列的管道以供您記錄系統發生的什么事:
1.一般檔案,這是最普遍的方式。你可以指定好檔案路徑與檔案名稱,但是必須以目錄符號「/」開始,系統才會知道這是一個檔案。例如/var/adm/maillog表示要記錄到/var/adm下面一個稱為maillog的檔案。如果之前沒有這個檔案 ,系統會自動產生一個。
2.指定的終端機或其他設備。你 也可以將系統紀錄寫到一個終端機或是設備上。若將系統紀錄寫到終端機,則目前正在使用該終端機的使 用者就會直接在螢幕上看到系統訊息(例如/dev/console或是/dev/tty1.你可以拿一個螢幕專門來顯示系統訊息 )。若將系統紀錄寫到印表機,則你會有一長條印滿系統紀錄的紙(例如/dev/lp0)。
3.指定的使用者。你也可以在這邊列出一串使用者名稱,則這些使用者如果正好上線的話,就會在他的終端機上看到系統訊息( 例如root,注意寫的時候在使用者名稱前面不要再加上其他的字)。
4.指定的遠端主機。這 種寫法不將系統訊息記錄在連接本地機器上,而記錄在其他主機上。有些情況系統碰到的是硬碟錯誤,或是萬一有人把主機推倒,硬碟摔壞了,那你要到哪邊去拿系 統紀錄來看呢?而網路卡只要你不把它折斷,應該是比硬碟機耐摔得多了。因此,如果你覺得某些情況下可能紀錄沒辦法存進硬碟里,你可以把系統紀錄丟到其他的 主機上。如果你要這樣做,你可以寫下主機名稱,然后在主機名稱前面加上「@」符號(例如 @ccunix1.variox.int,但被你指定的主機上必須要有syslogd)。
七、電子郵件追蹤方法
在以上各種紀錄方式中,都沒有電子郵件這項。因為電子信件要等收件者去收信才看得到, 有些情況可能是很緊急的, 沒辦法等你去拿信來看(BSD的Manual Page寫著「when you got mail,it’s already too late...」 :-P)。以上就是syslog各項紀錄程度以及紀錄方式的寫法,各位讀者可以依照自己的需求記錄下自己所需要的內容。但是這些紀錄都是一直堆上去的,除 非您將檔案自行刪掉,否則這些檔案就會越來越大。有的人可能會在syslogd.conf里寫:*.*/var/log/everything,要是這樣 的話,當然所有的情況都
