① kiwi syslog daemon 无法将日志发送到sql数据库
日志系统管理的意义
在一个完整的信息系统里面,日志系统是一个非常重要的功能组成部分。它可以记录下系统所产生的所有行为,并按照某种规范表达出来。我们可以使用日志系统所记录的信息为系统进行排错,优化系统的性能,或者根据这些信息调整系统的行为。在安全领域,日志系统的重要地位尤甚,可以说是安全审计方面最主要的工具之一。
日志系统概览
按照系统类型进行区分的话,日志系统可以分为操作系统日志、应用系统日志、安全系统日志等等。每种操作系统的日志都有其自身特有的设计和规范,例如Windows系统的日志通常按照其惯有的应用程序、安全和系统这样的分类方式进行存储,而类似Linux这样的各种Class UNIX系统通常都使用兼容Syslog规范的日志系统。
而很多硬件设备的操作系统也具有独立的日志功能,以Cisco路由器为代表的网络设备通常都具有输出Syslog兼容日志的能力。应用系统日志主要包括各种应用程序服务器(例如Web服务器、FTP服务器)的日志系统和应用程序自身的日志系统,不同的应用系统都具有根据其自身要求设计的日志系统。安全系统日志从狭义上讲指信息安全方面设备或软件如防火墙系统的日志,从更广泛的意义上来说,所有为了安全目的所产生的日志都可归入此类。
日志管理工作综述
我们的主人公Mike是个安全管理员,他独立负责公司所有计算机设施的安全事务。虽然公司的设备还不算太多,但是系统倒是非常丰富,公司自己的网站基于SQL Server数据库进行编程,运行在一台运行着IIS的Windows服务器上,而公司的FTP服务则通过Linux系统下的WU-FTPD程序实现。
在公司与Internet的边界处放置着一台硬件防火墙,Web服务器就接在这台防火墙的DMZ端口上,而仍然是为了工作方便的原因,提供FTP服务的Linux机器放置与公司的内部网络上。到目前为止,所有的安全管理工作有条不紊地进行着,而这其中相当一部分是自动实现的。收集和阅读各种系统日志占据了Mike日常安全管理工作的相当比重,我们首先来看看Mike是如何完成这一切的。
Mike主要处理的日志包括了公司网站服务器上的Windows系统日志、IIS服务器软件生成的日志以及SQL Server日志,Linux服务器上的系统日志以及FTP服务日志,另外还包括公司防火墙的日志。当然了,内网所有的机器日志也在Mike的管辖范围之内,但是在Mike的计划里这些日志的优先级较低,在主要日志得到妥善处理之后,Mike不定期的对这些日志进行审阅工作。
对于Web服务器上的所有日志,Mike改变了其默认的存储位置,并将其放置在服务器上专设的一个NTFS分区上。这样做可以更好的进行管理和控制,而且将其放置在IIS所运行的分区之外,可以给攻击者造成一些障碍,将文件放置在NTFS分区则主要是为了进行访问权限的控制。因为Windows系统日志很难被删除但对其进行清除却非常容易,所以Mike需要对日志的清除包括篡改进行尽量严格的控制。
Mike自己撰写了一些Windows脚本,定期将这些日志复制到自己的Windows工作站下,而很少直接使用Web服务器上的日志文件。Linux服务器上的日志也应用了相似的权限控制,Mike在自己的工作站上运行了一个叫做Kiwi Syslog Daemon的程序,接收Linux服务器产生的所有Syslog规格的日志,这个守护程序也能够接收公司防火墙的日志归档。
Mike每天获取一次所有的日志文件,并对这些日志执行一些自动的检查工作。基本检查工作一般是在日志文件中按照可能存在的安全风险进行相应的搜索,例如我们的Web日志中如果出现了包含cmd.exe的记录,说明很可能有攻击者或者蠕虫病毒在试探是否可以利用IIS的一些进行非法操作。值得注意的是,对于文本格式的日志文件,我们通过基本的Find命令就可以执行这样的搜索。而对于使用二进制格式存储的日志文件,执行这种检查会复杂一些,通常需要利用日志系统本身的阅读程序进行读取或解码。这需要管理员非常熟悉所维护系统相关的安全漏洞,以及相应系统下的脚本编写技术,但是在这些方面付出汗水是绝对值得的,至少像Mike这样维护如此多系统还有时间阅读技术类杂志是很让人羡慕的。
这些日常的工作虽然能阻挡不少恶意访问行为,但这并不是一个安全管理员生活的全部,还是有很多问题会安然通过这些检测,对系统形成破坏。从本质上来讲,自动化的处理是相对粗粒度的,主要起到过滤没有意义的干扰信息,有效降低管理员工作负荷的作用。在日常监测之外,也应该每隔一段时间对这些日志进行更细致的审查。在新漏洞出现时,Mike都会针对漏洞的特征进行日志检查,并及时的将攻击指纹更新到自动化检查脚本中。
下文给你参考:
windows xp 速度提升和优化指南
Win XP以其华丽的操作画面和稳定的性能成为不少电脑玩家的首选操作系统,但在使用Windows XP的过程中你会发现,随着时间的推移操作系统在速度上是越来越慢了。如何才能使Windows XP提高运行速度的问题,已经成为用户十分关心的话题。
1、加快启动速度
每次启动Windows XP的时候,蓝色的滚动条都会不知疲倦地走上好几圈,对于追求高效率的你,是不是很希望它能少走几圈呢?其实我们完全可以把它的滚动时间减少,以加快启动速度。方法是:打开注册表编辑器,依次展开HKEY _ LOCAL _ MACHINE SYSTEM CurrentControlSet Control Session Manager Memory Management PrefetchParameters分支,在右侧窗口中区找到EnablePrefetcher子键,把它的默认值“3”修改为“1”。接下来用鼠标右键在桌面上单击“我的电脑”,选择“属性”命令,在打开的窗口中选择“硬件”选项卡,单击“设备管理器”按钮。在“设备管理器”窗口中展开“IDE ATA/ATAP控制器”,双击“次要IDE通道”选项,在弹出的对话框中选择“高级”选项卡,在“设备0”中的“设备类型”中,将原来的“自动检测”改为“无”,“确定”后退出。“主要IDE通道”的修改方法一致。现在重新启动计算机,看看你的滚动条滚动的时间是不是减少了? 注意:使用VIA芯片主板的朋友千万可不能修改“VIA BUS MASTER IDE CONTROLLER”选项。
另外,如果你没有选择创建多个不同的硬件配置文件,或者希望启动期间自动加载默认的硬件配置文件而不显示列表项,那么可以将“硬件配置文件选择”小节中的“秒”中输入“0”即可。在需要选择的时候按住空格键就会显示出列表了。
2、优化网上邻居
Windows XP网上邻居在使用时,系统首先会搜索自己的共享目录和可作为网络共享的打印机以及计划任务中和网络相关的计划任务,然后才显示出来,这样会直接影响计算机的运行速度。如果不必要的话,应将其删除。具体步骤如下:在注册表编辑器中找到HKEY_LOCAL_MACHINE\sofeware\Microsoft\Windows\Current Version\Explore\RemoteComputer\NameSpace,删除其下的(打印机)和(计划任务),然后重新启动计算机,当你再次访问网上邻居时,发现运行速度已经提升。
3、加快开关机速度
在Windows XP中关机时,系统总会发送消息到运行程序和远程服务器,通知它们系统要关闭,并等待接到回应后系统才开始关机的。如果我们要加快开机速度的话,我们可以先设置自动结束任务的时间。方法是:打开注册表编辑器,依次展开HKEY_CURRENT _ USER Control Panel Desktop分支,找到AutoEndTasks子键,将其设置为1。再将该分支下的“HungAppTimeout”子键设置为“1000”,将“WaitTOKillService”改为“1000”(默认为5000)即可。通过这样重新设置,计算机的关机速度可获得明显加快的效果。
5、快速切换不同的工作环境
为了满足各种不同的需要和适应不同的工作环境,可以同时创建多个不同的硬件配置文件。在“硬件配置文件”对话框中按“复制”按钮,备份当前硬件配置文件,并重新命名,在不同的工作环境下均如此操作一遍。进入“硬件配置文件”对话框,用上下箭头移动配置文件,将最常用的置于最上方,在“硬件配置文件选择”小节上选“等待用户选定硬件配置文件”,重新启动计算机就可以看到“硬件配置文件选择菜单”了。这种设置办法对使用笔记本电脑用户更加实用,可以创建多个适用于不同场合的硬件配置文件,切换起来既方便又可大大提高工作效率。
6、提高宽带速度
大家都知道,专业版的Windows XP默认保留了20%的带宽,其实这对于我们个人用户来说是没有多大的作用。与其闲着还不如充分地利用起来,方法如下:在“开始→运行”中输入gpedit.msc,打开组策略编辑器。找到“计算机配置→管理模板→网络→QoS数据包调度程序”,选择右边的“限制可保留带宽”,选择“属性”打开限制可保留带宽属性对话框,选择“禁用”即可。经过这样重新设置就可以释放保留的20%的带宽了。
7、清空系统中多余的硬件信息
日常工作中使用拔插硬件设备是经常的事情,这样重复安装驱动程序的过程将会在系统中遗留下很多硬件注册信息等,导致系统速度减缓,该如何清空这些多余的硬件信息呢?首先点击“复制”按钮备份(Profile 2),然后再重新命名,例如改为Profile,再重新启动计算机,此时会出现供你选择的提示:“1、Profile .2、Profile1 3、None of the above ”, 这里的“1”和“2”是系统中已经存在的硬件配置文件,我们当然选择“3”,这样就可以让 Windows重新检测硬件,此时屏幕会出现“检测硬件”的对话框,并提示“大约需要几分钟时间”,稍后出现的“配置设置”的对话框,提示“成功设置了新计算机的配置,名称为Profile1”,点击“确定”按钮,重新安装硬件设备的驱动程序。最后,要把除Profile1外的两个硬件配置文件删除掉,防止开机时仍然会询问你使用哪一个硬件配置文件。
8.对Windows XP进行启动优化
Windows XP有一个不错的新功能,那就是可以在启动时进行磁盘碎片整理,使那些启动所必须的文件能相邻排列,从而令下次的启动速度更快。如果你的Windows XP 中没有打开此功能,可打开“注册表编辑器”,找到[HKEY_LOCAL_MACHINE\\SOFTWARE\\Mi
crosoft\\Dfrg\\BootOptimizefunction],在右侧窗格右击Enable值,在弹出的菜单中选择“修改”,然后将值改为Y(打开)(N为关闭)。修改完毕后关闭“注册表编辑器”,重启电脑。
9、自动关闭停止响应程序
有些时候,XP会提示你某某程序停止响应,很烦,通过修改注册表我们可以让其自行关闭,在HKEY_CURRENT_USER\Control Panel\Desktop中将字符健值是AutoEndTasks的数值数据更改为1,重新注销或启动即可。
10、清除内存中不被使用的DLL文件
在注册表的HKKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion,在Explorer增加一个项AlwaysUnloadDLL,默认值设为1。注:如由默认值设定为0则代表停用此功能。
11、停止不必要的系统服务
1)alerter 错误警报
2)automatic updates windows 自动更新
3)background intelligent transfer service 微软说使用空闲的网络带宽传数据
4)clipbook 与远程电脑来共享剪贴板内容,我看还是免了吧
5)Computer browser 维护网络更新列表
6)DHCP client 一般不需要这东西
7)Distributed link tracking client 保持局域网连接更新等信息,偶很少用局域网,这东西占用4M左右内存。
8)Distributed Transaction coordinator 协调xxx,和上面的差不多
9)DNS Client 我不需要这东西
10)Error reporting service 错误报告
11)Event Log 系统日志纪录
12)Fast user switching compatibility 用户切换
13)help and support 帮助
14)Human interface device access 据说是智能设备。。。
15)IMAPI CD-burning COM service 偶不用这个刻碟
16)Indexing service 索引,索引什么呢?
17)Internet Connection Firewall(ICF) ICF防火墙
18)IPSEC Services IP安全策略(一般都需要)
19)Logical Disk manager administrative service 配置磁盘
20)messenger windows信使服务,一般可关掉
21)MS software shadow provider 卷复制备份的,不需要
22)Net Logon 远程登录,关!
23)Netmeeting remote desktop sharing 我不用netmeeting
24)Network DDE 动态数据交换传输
25)Network DDE DSDM 和上面差不多
26)Network Location Awareness 关,我的机子不作共享
27)NTLM Security support provider-telnet 呵呵,关!
28)Performance logs and alert 将系统状态写日志或发警告
29)Portable media serial number 关!
30)Print Spooler 打印机共享,可关掉
31) QoS RSVP 关!
32)Remote desktop help session manager 远程帮助服务
33)remote Procere Call LOCATOR 管理RPC
34)remote registry 远程管理注册表,停止
35)removable storage
36)routing and remote access 我干脆禁用了它
37)security accounts manager 我的系统只是一个客户系统,不用iis。
38)smart card
39)smart card helper 关
40)SSDP Discovery service 我用不到这个
41)system event notification 如果是服务器肯定要记录的
42)system restore service 系统还原服务
43)task scheler windows 计划服务
44)Telephony 拨号服务,可停止
45)telnet 可停止
46)terminal services 终端服务,可停止
47)uninterruptible power supply UPS不间断电源,如没可关掉
48)universal plug and play device host 太先进了点,用不到
49)upload manager 关了也能传输文件的
50)volume shadow 卷备份,可停止
51)webclient 没用过
52)Windows Installer MSI服务,我一直关着。
53)windows image acquisition (WIA) 数码设备用的
54)windows management instrumentation driver extensions 关了
55)windows time 时间服务
56)wireless zero configuration 无线网络,偶用不到的
57)WMI perfromance adapter 关!
上面列出的服务可以根据自己的需要停止掉,这样开机和运行速度会快很多
12、安全设置
多了不谈,基本的共享还是得关的:
修改注册表为以下两个样式:
去除默认共享
——————————————————————
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"AutoShareServer"=dword:00000000
"AutoSharewks"=dword:00000000
——————————————————————
去除IPC$管理
——————————————————————
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"restrictanonymous"=dword:00000001
——————————————————————
将上面的文本保存成两个.REG文件,双击导入就可以了。
13、关闭错误报告
如不需要windows发送错误报告,可点击 控制面板---->系统---->高级---->
右下角--->错误报告---->禁用错误汇报——>确定!
14、关闭系统的预读功能 (重要必读)
根据网上一些人的介绍和经验结合我自己使用的Windows XP的经理,现在提供解决系统运行时间长后速度明显慢下来的方法,可能很多人都在抱怨启动慢--或者关机慢等等,所以我说说一个明显可以改善启动速度的方法!
你到c:/Windows下面会有一个叫Prefetch的文件夹(即Windows预读文件夹),你会发现里面有上百个以PF为扩展名的文件:--启动慢的原因就在这里!
那么这些到底是些什么东西了?
这里是系统的预读功能,在装系统后的开始一段时间,设置为预读虽然可以提高系统速度,但是使用一段时间后,预读文件夹里的文件会变得很多,导致系统搜索花费的时间变长。而且有些应用程序会产生死链接文件,加重了系统搜索的负担。因此,他严重影响了我们系统的启动速度,我们应该定期删除这些预读文件。
在这里,Windows XP是允许我们设置预读的对象。
方法就是:打开注册表编辑器,依次展开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters分支,在右侧窗口中双击"EnablePrefetcher",在打开的"DWORD"值编辑窗口中,可以对Windows XP进行预读设置:
将该值设置为"0",即为取消预读功能;
设置为"1",系统将只预读应用程序;
设置为"2",系统将只预读Windows系统文件;
设置为"3",系统将预读Windows系统文件和应用程序。
一般我们将该值设置为"2"即可,当然,如果你的计算机配置很高,也可以将该值设置为"3",以加快系统运行速度。
我们也可以自己制作一个批处理程序,在每次开机时删除"Windows\Prefetch"文件夹的文件。
方法如下:我们新建一个记事本文件,并且改后缀名为.bat,命名为DelPre.bat,然后用记事本打开它,并在里面加入以下内容:
del %SystemRoot%\Prefetch\*.* /q
加"/q"参数是删除全局通配符时,不要求确认,当然还可以用其他参数,如"/f"参数是强制删除只读文件。然后保存文件。
15、减少启动时加载项目
许多应用程序在安装时都会自作主张添加至系统启动组,每次启动系统都会自动运行,这不仅延长了启动时间,而且启动完成后系统资源已经被消耗掉!
启动"系统配置实用程序"(msconfig),在"启动"项中列出了系统启动时加载的项目及来源,仔细查看你是否需要它自动加载,否则清除项目前的复选框,加载的项目愈少,启动的速度自然愈快。此项需要重新启动方能生效。