① kiwi syslog daemon 無法將日誌發送到sql資料庫
日誌系統管理的意義
在一個完整的信息系統裡面,日誌系統是一個非常重要的功能組成部分。它可以記錄下系統所產生的所有行為,並按照某種規范表達出來。我們可以使用日誌系統所記錄的信息為系統進行排錯,優化系統的性能,或者根據這些信息調整系統的行為。在安全領域,日誌系統的重要地位尤甚,可以說是安全審計方面最主要的工具之一。
日誌系統概覽
按照系統類型進行區分的話,日誌系統可以分為操作系統日誌、應用系統日誌、安全系統日誌等等。每種操作系統的日誌都有其自身特有的設計和規范,例如Windows系統的日誌通常按照其慣有的應用程序、安全和系統這樣的分類方式進行存儲,而類似Linux這樣的各種Class UNIX系統通常都使用兼容Syslog規范的日誌系統。
而很多硬體設備的操作系統也具有獨立的日誌功能,以Cisco路由器為代表的網路設備通常都具有輸出Syslog兼容日誌的能力。應用系統日誌主要包括各種應用程序伺服器(例如Web伺服器、FTP伺服器)的日誌系統和應用程序自身的日誌系統,不同的應用系統都具有根據其自身要求設計的日誌系統。安全系統日誌從狹義上講指信息安全方面設備或軟體如防火牆系統的日誌,從更廣泛的意義上來說,所有為了安全目的所產生的日誌都可歸入此類。
日誌管理工作綜述
我們的主人公Mike是個安全管理員,他獨立負責公司所有計算機設施的安全事務。雖然公司的設備還不算太多,但是系統倒是非常豐富,公司自己的網站基於SQL Server資料庫進行編程,運行在一台運行著IIS的Windows伺服器上,而公司的FTP服務則通過Linux系統下的WU-FTPD程序實現。
在公司與Internet的邊界處放置著一台硬體防火牆,Web伺服器就接在這台防火牆的DMZ埠上,而仍然是為了工作方便的原因,提供FTP服務的Linux機器放置與公司的內部網路上。到目前為止,所有的安全管理工作有條不紊地進行著,而這其中相當一部分是自動實現的。收集和閱讀各種系統日誌占據了Mike日常安全管理工作的相當比重,我們首先來看看Mike是如何完成這一切的。
Mike主要處理的日誌包括了公司網站伺服器上的Windows系統日誌、IIS伺服器軟體生成的日誌以及SQL Server日誌,Linux伺服器上的系統日誌以及FTP服務日誌,另外還包括公司防火牆的日誌。當然了,內網所有的機器日誌也在Mike的管轄范圍之內,但是在Mike的計劃里這些日誌的優先順序較低,在主要日誌得到妥善處理之後,Mike不定期的對這些日誌進行審閱工作。
對於Web伺服器上的所有日誌,Mike改變了其默認的存儲位置,並將其放置在伺服器上專設的一個NTFS分區上。這樣做可以更好的進行管理和控制,而且將其放置在IIS所運行的分區之外,可以給攻擊者造成一些障礙,將文件放置在NTFS分區則主要是為了進行訪問許可權的控制。因為Windows系統日誌很難被刪除但對其進行清除卻非常容易,所以Mike需要對日誌的清除包括篡改進行盡量嚴格的控制。
Mike自己撰寫了一些Windows腳本,定期將這些日誌復制到自己的Windows工作站下,而很少直接使用Web伺服器上的日誌文件。Linux伺服器上的日誌也應用了相似的許可權控制,Mike在自己的工作站上運行了一個叫做Kiwi Syslog Daemon的程序,接收Linux伺服器產生的所有Syslog規格的日誌,這個守護程序也能夠接收公司防火牆的日誌歸檔。
Mike每天獲取一次所有的日誌文件,並對這些日誌執行一些自動的檢查工作。基本檢查工作一般是在日誌文件中按照可能存在的安全風險進行相應的搜索,例如我們的Web日誌中如果出現了包含cmd.exe的記錄,說明很可能有攻擊者或者蠕蟲病毒在試探是否可以利用IIS的一些進行非法操作。值得注意的是,對於文本格式的日誌文件,我們通過基本的Find命令就可以執行這樣的搜索。而對於使用二進制格式存儲的日誌文件,執行這種檢查會復雜一些,通常需要利用日誌系統本身的閱讀程序進行讀取或解碼。這需要管理員非常熟悉所維護系統相關的安全漏洞,以及相應系統下的腳本編寫技術,但是在這些方面付出汗水是絕對值得的,至少像Mike這樣維護如此多系統還有時間閱讀技術類雜志是很讓人羨慕的。
這些日常的工作雖然能阻擋不少惡意訪問行為,但這並不是一個安全管理員生活的全部,還是有很多問題會安然通過這些檢測,對系統形成破壞。從本質上來講,自動化的處理是相對粗粒度的,主要起到過濾沒有意義的干擾信息,有效降低管理員工作負荷的作用。在日常監測之外,也應該每隔一段時間對這些日誌進行更細致的審查。在新漏洞出現時,Mike都會針對漏洞的特徵進行日誌檢查,並及時的將攻擊指紋更新到自動化檢查腳本中。
下文給你參考:
windows xp 速度提升和優化指南
Win XP以其華麗的操作畫面和穩定的性能成為不少電腦玩家的首選操作系統,但在使用Windows XP的過程中你會發現,隨著時間的推移操作系統在速度上是越來越慢了。如何才能使Windows XP提高運行速度的問題,已經成為用戶十分關心的話題。
1、加快啟動速度
每次啟動Windows XP的時候,藍色的滾動條都會不知疲倦地走上好幾圈,對於追求高效率的你,是不是很希望它能少走幾圈呢?其實我們完全可以把它的滾動時間減少,以加快啟動速度。方法是:打開注冊表編輯器,依次展開HKEY _ LOCAL _ MACHINE SYSTEM CurrentControlSet Control Session Manager Memory Management PrefetchParameters分支,在右側窗口中區找到EnablePrefetcher子鍵,把它的默認值「3」修改為「1」。接下來用滑鼠右鍵在桌面上單擊「我的電腦」,選擇「屬性」命令,在打開的窗口中選擇「硬體」選項卡,單擊「設備管理器」按鈕。在「設備管理器」窗口中展開「IDE ATA/ATAP控制器」,雙擊「次要IDE通道」選項,在彈出的對話框中選擇「高級」選項卡,在「設備0」中的「設備類型」中,將原來的「自動檢測」改為「無」,「確定」後退出。「主要IDE通道」的修改方法一致。現在重新啟動計算機,看看你的滾動條滾動的時間是不是減少了? 注意:使用VIA晶元主板的朋友千萬可不能修改「VIA BUS MASTER IDE CONTROLLER」選項。
另外,如果你沒有選擇創建多個不同的硬體配置文件,或者希望啟動期間自動載入默認的硬體配置文件而不顯示列表項,那麼可以將「硬體配置文件選擇」小節中的「秒」中輸入「0」即可。在需要選擇的時候按住空格鍵就會顯示出列表了。
2、優化網上鄰居
Windows XP網上鄰居在使用時,系統首先會搜索自己的共享目錄和可作為網路共享的列印機以及計劃任務中和網路相關的計劃任務,然後才顯示出來,這樣會直接影響計算機的運行速度。如果不必要的話,應將其刪除。具體步驟如下:在注冊表編輯器中找到HKEY_LOCAL_MACHINE\sofeware\Microsoft\Windows\Current Version\Explore\RemoteComputer\NameSpace,刪除其下的(列印機)和(計劃任務),然後重新啟動計算機,當你再次訪問網上鄰居時,發現運行速度已經提升。
3、加快開關機速度
在Windows XP中關機時,系統總會發送消息到運行程序和遠程伺服器,通知它們系統要關閉,並等待接到回應後系統才開始關機的。如果我們要加快開機速度的話,我們可以先設置自動結束任務的時間。方法是:打開注冊表編輯器,依次展開HKEY_CURRENT _ USER Control Panel Desktop分支,找到AutoEndTasks子鍵,將其設置為1。再將該分支下的「HungAppTimeout」子鍵設置為「1000」,將「WaitTOKillService」改為「1000」(默認為5000)即可。通過這樣重新設置,計算機的關機速度可獲得明顯加快的效果。
5、快速切換不同的工作環境
為了滿足各種不同的需要和適應不同的工作環境,可以同時創建多個不同的硬體配置文件。在「硬體配置文件」對話框中按「復制」按鈕,備份當前硬體配置文件,並重新命名,在不同的工作環境下均如此操作一遍。進入「硬體配置文件」對話框,用上下箭頭移動配置文件,將最常用的置於最上方,在「硬體配置文件選擇」小節上選「等待用戶選定硬體配置文件」,重新啟動計算機就可以看到「硬體配置文件選擇菜單」了。這種設置辦法對使用筆記本電腦用戶更加實用,可以創建多個適用於不同場合的硬體配置文件,切換起來既方便又可大大提高工作效率。
6、提高寬頻速度
大家都知道,專業版的Windows XP默認保留了20%的帶寬,其實這對於我們個人用戶來說是沒有多大的作用。與其閑著還不如充分地利用起來,方法如下:在「開始→運行」中輸入gpedit.msc,打開組策略編輯器。找到「計算機配置→管理模板→網路→QoS數據包調度程序」,選擇右邊的「限制可保留帶寬」,選擇「屬性」打開限制可保留帶寬屬性對話框,選擇「禁用」即可。經過這樣重新設置就可以釋放保留的20%的帶寬了。
7、清空系統中多餘的硬體信息
日常工作中使用拔插硬體設備是經常的事情,這樣重復安裝驅動程序的過程將會在系統中遺留下很多硬體注冊信息等,導致系統速度減緩,該如何清空這些多餘的硬體信息呢?首先點擊「復制」按鈕備份(Profile 2),然後再重新命名,例如改為Profile,再重新啟動計算機,此時會出現供你選擇的提示:「1、Profile .2、Profile1 3、None of the above 」, 這里的「1」和「2」是系統中已經存在的硬體配置文件,我們當然選擇「3」,這樣就可以讓 Windows重新檢測硬體,此時屏幕會出現「檢測硬體」的對話框,並提示「大約需要幾分鍾時間」,稍後出現的「配置設置」的對話框,提示「成功設置了新計算機的配置,名稱為Profile1」,點擊「確定」按鈕,重新安裝硬體設備的驅動程序。最後,要把除Profile1外的兩個硬體配置文件刪除掉,防止開機時仍然會詢問你使用哪一個硬體配置文件。
8.對Windows XP進行啟動優化
Windows XP有一個不錯的新功能,那就是可以在啟動時進行磁碟碎片整理,使那些啟動所必須的文件能相鄰排列,從而令下次的啟動速度更快。如果你的Windows XP 中沒有打開此功能,可打開「注冊表編輯器」,找到[HKEY_LOCAL_MACHINE\\SOFTWARE\\Mi
crosoft\\Dfrg\\BootOptimizefunction],在右側窗格右擊Enable值,在彈出的菜單中選擇「修改」,然後將值改為Y(打開)(N為關閉)。修改完畢後關閉「注冊表編輯器」,重啟電腦。
9、自動關閉停止響應程序
有些時候,XP會提示你某某程序停止響應,很煩,通過修改注冊表我們可以讓其自行關閉,在HKEY_CURRENT_USER\Control Panel\Desktop中將字元健值是AutoEndTasks的數值數據更改為1,重新注銷或啟動即可。
10、清除內存中不被使用的DLL文件
在注冊表的HKKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion,在Explorer增加一個項AlwaysUnloadDLL,默認值設為1。註:如由默認值設定為0則代錶停用此功能。
11、停止不必要的系統服務
1)alerter 錯誤警報
2)automatic updates windows 自動更新
3)background intelligent transfer service 微軟說使用空閑的網路帶寬傳數據
4)clipbook 與遠程電腦來共享剪貼板內容,我看還是免了吧
5)Computer browser 維護網路更新列表
6)DHCP client 一般不需要這東西
7)Distributed link tracking client 保持區域網連接更新等信息,偶很少用區域網,這東西佔用4M左右內存。
8)Distributed Transaction coordinator 協調xxx,和上面的差不多
9)DNS Client 我不需要這東西
10)Error reporting service 錯誤報告
11)Event Log 系統日誌紀錄
12)Fast user switching compatibility 用戶切換
13)help and support 幫助
14)Human interface device access 據說是智能設備。。。
15)IMAPI CD-burning COM service 偶不用這個刻碟
16)Indexing service 索引,索引什麼呢?
17)Internet Connection Firewall(ICF) ICF防火牆
18)IPSEC Services IP安全策略(一般都需要)
19)Logical Disk manager administrative service 配置磁碟
20)messenger windows信使服務,一般可關掉
21)MS software shadow provider 卷復制備份的,不需要
22)Net Logon 遠程登錄,關!
23)Netmeeting remote desktop sharing 我不用netmeeting
24)Network DDE 動態數據交換傳輸
25)Network DDE DSDM 和上面差不多
26)Network Location Awareness 關,我的機子不作共享
27)NTLM Security support provider-telnet 呵呵,關!
28)Performance logs and alert 將系統狀態寫日誌或發警告
29)Portable media serial number 關!
30)Print Spooler 列印機共享,可關掉
31) QoS RSVP 關!
32)Remote desktop help session manager 遠程幫助服務
33)remote Procere Call LOCATOR 管理RPC
34)remote registry 遠程管理注冊表,停止
35)removable storage
36)routing and remote access 我乾脆禁用了它
37)security accounts manager 我的系統只是一個客戶系統,不用iis。
38)smart card
39)smart card helper 關
40)SSDP Discovery service 我用不到這個
41)system event notification 如果是伺服器肯定要記錄的
42)system restore service 系統還原服務
43)task scheler windows 計劃服務
44)Telephony 撥號服務,可停止
45)telnet 可停止
46)terminal services 終端服務,可停止
47)uninterruptible power supply UPS不間斷電源,如沒可關掉
48)universal plug and play device host 太先進了點,用不到
49)upload manager 關了也能傳輸文件的
50)volume shadow 卷備份,可停止
51)webclient 沒用過
52)Windows Installer MSI服務,我一直關著。
53)windows image acquisition (WIA) 數碼設備用的
54)windows management instrumentation driver extensions 關了
55)windows time 時間服務
56)wireless zero configuration 無線網路,偶用不到的
57)WMI perfromance adapter 關!
上面列出的服務可以根據自己的需要停止掉,這樣開機和運行速度會快很多
12、安全設置
多了不談,基本的共享還是得關的:
修改注冊表為以下兩個樣式:
去除默認共享
——————————————————————
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"AutoShareServer"=dword:00000000
"AutoSharewks"=dword:00000000
——————————————————————
去除IPC$管理
——————————————————————
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"restrictanonymous"=dword:00000001
——————————————————————
將上面的文本保存成兩個.REG文件,雙擊導入就可以了。
13、關閉錯誤報告
如不需要windows發送錯誤報告,可點擊 控制面板---->系統---->高級---->
右下角--->錯誤報告---->禁用錯誤匯報——>確定!
14、關閉系統的預讀功能 (重要必讀)
根據網上一些人的介紹和經驗結合我自己使用的Windows XP的經理,現在提供解決系統運行時間長後速度明顯慢下來的方法,可能很多人都在抱怨啟動慢--或者關機慢等等,所以我說說一個明顯可以改善啟動速度的方法!
你到c:/Windows下面會有一個叫Prefetch的文件夾(即Windows預讀文件夾),你會發現裡面有上百個以PF為擴展名的文件:--啟動慢的原因就在這里!
那麼這些到底是些什麼東西了?
這里是系統的預讀功能,在裝系統後的開始一段時間,設置為預讀雖然可以提高系統速度,但是使用一段時間後,預讀文件夾里的文件會變得很多,導致系統搜索花費的時間變長。而且有些應用程序會產生死鏈接文件,加重了系統搜索的負擔。因此,他嚴重影響了我們系統的啟動速度,我們應該定期刪除這些預讀文件。
在這里,Windows XP是允許我們設置預讀的對象。
方法就是:打開注冊表編輯器,依次展開HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters分支,在右側窗口中雙擊"EnablePrefetcher",在打開的"DWORD"值編輯窗口中,可以對Windows XP進行預讀設置:
將該值設置為"0",即為取消預讀功能;
設置為"1",系統將只預讀應用程序;
設置為"2",系統將只預讀Windows系統文件;
設置為"3",系統將預讀Windows系統文件和應用程序。
一般我們將該值設置為"2"即可,當然,如果你的計算機配置很高,也可以將該值設置為"3",以加快系統運行速度。
我們也可以自己製作一個批處理程序,在每次開機時刪除"Windows\Prefetch"文件夾的文件。
方法如下:我們新建一個記事本文件,並且改後綴名為.bat,命名為DelPre.bat,然後用記事本打開它,並在裡面加入以下內容:
del %SystemRoot%\Prefetch\*.* /q
加"/q"參數是刪除全局通配符時,不要求確認,當然還可以用其他參數,如"/f"參數是強制刪除只讀文件。然後保存文件。
15、減少啟動時載入項目
許多應用程序在安裝時都會自作主張添加至系統啟動組,每次啟動系統都會自動運行,這不僅延長了啟動時間,而且啟動完成後系統資源已經被消耗掉!
啟動"系統配置實用程序"(msconfig),在"啟動"項中列出了系統啟動時載入的項目及來源,仔細查看你是否需要它自動載入,否則清除項目前的復選框,載入的項目愈少,啟動的速度自然愈快。此項需要重新啟動方能生效。