《UNIX/Linux網絡日誌分析與流量監控》
出版社官網: http://www.cmpbook.com/stackroom.php?id=39384
|
日誌分析是系統管理員的基本技能。UNIX/Linux系統提供了強大的日誌系統,爲管理員查找和發現問題提供了強有力的支持。本書以講故事的形式,將作者的親身實戰經歷融入其中,彷彿福爾摩斯在向華生講述整個案情的來龍去脈,讓讀者在跟隨作者分析的過程中,瞭解UNIX/Linux日誌分析的竅門。本書語言通俗易懂,結合案例情景,易於實踐操作。
更重要的是,系統管理員(包括各類IT從業者)通過本書,不僅可以學習到UNIX/ Linux日誌的作用,還可以舉一反三,站在更高的角度看待IT運維和系統安全。只有整體看待這些問題,才能增加系統的穩定性和安全性,將系統管理員從日常事務中解脫出來。
——吳玉徵 51CTO副主編(原〈計算機世界〉報副總編)
本書作者李晨光先生是51CTO專家博主,他的文章深受技術同行關注。作者在2011~2013年度中國IT博客大賽中被評爲“十大傑出IT博客”,一個如此優秀的博主寫的書肯定值得一看。此書詳細介紹了UNIX/Linux平臺下日誌分析方法和計算機取證技巧,並以講故事的形式,介紹日誌分析的全過程,其最大亮點是將UNIX/Linux系統中枯燥的技術問題,通過生動案例展現出來,每個案例讀完後都能讓系統管理員們有所收穫。讀完這本書你一定不會後悔。
——曹亞莉 51CTO博客總編、51CTO學院高級運營經理
《Unix/Linux網絡日誌分析與流量監控》這本書以企業網絡安全運維作爲背景,不但詳細分析瞭如今比較典型的安全問題,包括DDOS***、無線***、惡意代碼、SQL注入等等案例以及補救措施,更是能夠讓企業運維人員瞭解並熟悉使用目前最受歡迎的Ossim開源系統,挖掘網絡安全問題。作者用10來年的經驗分享,無論您是網絡工程師,系統管理員還是信息安全人員,都將在本書中與作者產生共鳴。本書最大的亮點不同於其他安全書籍,它所給讀者傳遞的是一種解決問題的思路和方法,而不是簡簡單單的案例講解。授之以漁,值得推薦。
——任麗萍 51CTO讀書頻道 主管
李晨光老師是ChinaUnix專家博主,在UNIX/Linux領域研究多年,對日誌分析技術有獨到見解。這本《UNIX/Linux網絡日誌分析與流量監控》是業界第一本基於UNIX/Linux環境,講解應用系統日誌收集、分析方法的專著,是李老師多年沉澱的技術結晶。書中採用大量鮮活的案例,生動地展示了系統漏洞防範、惡意代碼分析、DoS分析、惡意流量過濾等安全防護技術,深入分析了諸多系統管理員的錯誤維護方法及誤區,對安全工作者有很好的參考價值。如果你對網絡安全、日誌分析感興趣,我們強烈推薦此書。
——ChinaUnix技術社區
運維人員都很清楚,非常枯燥又不得不做的事情就是服務器日誌文件分析和流量監控。儘管現在有很多相關工具和軟件,但真正將它們與自己的實際工作相結合時,往往力不從心。這本《UNIX/Linux網絡日誌分析與流量監控》以案例驅動的形式從 UNIX/Linux系統的原始日誌(Raw Log)採集、分析到日誌審計與取證環節都進行了詳細的介紹和說明,內容非常豐富,中間還穿插了很多小故事,毫不枯燥,讓您在輕鬆的閱讀環境中提升自己的日誌分析技能。如果是運維人員或想成爲運維人員,您值得擁有!
——ITPUB技術社區
隨着網絡威脅的日益嚴峻,信息安全問題受到越來越多的用戶關注。而針對UNIX/ Linux系統的安全探討,李晨光老師的這本《UNIX/Linux網絡日誌分析與流量監控》顯然是非常不錯的選擇,本書通過一個個生動的案例將UNIX/Linux系統下的安全問題進行了深入淺出的剖析,讓你可以更好地消化其中的方法和技術,非常值得一讀。
——董建偉 IT168安全頻道主編
本書從UNIX/Linux系統的原始日誌(Raw Log)採集與分析講起,逐步深入到日誌審計與計算機取證環節。書中提供了多個案例,每個案例都以一種生動的記事手法講述了網絡遭到***之後,管理人員開展系統取證和恢復的過程,案例分析手法帶有故事情節,使讀者身臨其境地檢驗自己的應急響應和計算機取證能力。
本書使用的案例都是作者從系統維護和取證工作中總結、篩選出來的,這些內容對提高網絡維護水平和事件分析能力有重要的參考價值。如果你關注網絡安全,那麼書中的案例一定會引起你的共鳴。本書適合有一定經驗的UNIX/Linux系統管理員和信息安全人士參考。
1.爲什麼寫這本書
國內已出版了不少網絡***等安全方面的書籍,其中多數是以Windows平臺爲基礎。但互聯網應用服務器大多架構在UNIX/Linux系統之上,讀者迫切需要了解有關這些系統的安全案例。所以我決心寫一本基於UNIX/Linux的書,從一個白帽的視角,爲大家講述企業網中UNIX/Linux系統在面臨各種網絡威脅時,如何通過日誌信息查找問題的蛛絲馬跡,修復網絡漏洞,構建安全的網絡環境。
2.本書特點與結構
書中案例覆蓋瞭如今網絡應用中典型的***類型,例如DDoS、惡意代碼、緩衝區溢出、Web應用***、IP碎片***、中間人***、無線網***及SQL注入***等內容。每段故事首先描述一起安全事件。然後由管理員進行現場勘查,收集各種信息(包括日誌文件、拓撲圖和設備配置文件),再對各種安全事件報警信息進行交叉關聯分析,並引導讀者自己分析***原因,將讀者帶入案例中。最後作者給出***過程的來龍去脈,在每個案例結尾提出針對這類***的防範手段和補救措施,重點在於告訴讀者如何進行系統和網絡取證,查找並修復各種漏洞,從而進行有效防禦。
全書共有14章,可分爲三篇。
第一篇日誌分析基礎(第1~3章),是全書的基礎,對於IT運維人員尤爲重要,系統地總結了UNIX/Linux系統及各種網絡應用日誌的特徵、分佈位置以及各字段的作用,包括Apache日誌、FTP日誌、Squid日誌、NFS日誌、Samba日誌、iptables日誌、DNS日誌、DHCP日誌、郵件系統日誌以及各種網絡設備日誌,還首次提出了可視化日誌分析的實現技術,首次曝光了計算機系統在司法取證當中所使用的思路、方法、技術和工具,這爲讀者有效記錄日誌、分析日誌提供了紮實的基礎,解決了讀者在日誌分析時遇到的“查什麼”、“怎麼查”的難題。最後講解了日誌採集的實現原理和技術方法,包括開源和商業的日誌分析系統的搭建過程。
第二篇日誌分析實戰(第4~12章),講述了根據作者親身經歷改編的一些小故事,再現了作者當年遇到的各種網絡***事件的發生、發展和處理方法、預防措施等內容,用一個個網絡運維路上遇到的“血淋淋”的教訓來告誡大家,如果不升級補丁會怎麼樣,如果不進行系統安全加固又會遇到什麼後果。這些案例包括Web網站崩潰、DNS故障、遭遇DoS***、Solaris安插後門、遭遇溢出***、rootkit***、蠕蟲***、數據庫被SQL注入、服務器淪爲跳板、IP碎片***等。
第三篇網絡流量與日誌監控(第13、14章),用大量實例講解流量監控原理與方法,例如開源軟件Xplico的應用技巧,NetFlow在異常流量中的應用。還介紹了用開源的OSSIM安全系統建立網絡日誌流量監控網絡。
本書從網絡安全人員的視角展現了網絡***發生時,當你面臨千頭萬緒的線索時如何從中挖掘關鍵問題,並最終得以解決。書中案例採用獨創的情景式描述,通過一個個鮮活的IT場景,反映了IT從業者在工作中遇到的種種難題。案例中通過互動提問和開放式的回答,使讀者不知不覺中掌握一些重要的網絡安全知識和實用的技術方案。
本書案例中的IP地址、域名信息均爲虛構,而解決措施涉及的下載網站以及各種信息查詢網站是真實的,具有較高參考價值。書中有大量系統日誌,這些日誌是網絡故障取證處理時的重要證據,由於涉及保密問題,所有日誌均做過技術處理。
由於時間緊,能力有限,書中不當之處在所難免,還請各位讀者到我的博客多多指正。
3.本書實驗環境
本書選取的UNIX平臺爲Solaris和FreeBSD,Linux平臺主要爲Red Hat和Debian Linux。涉及取證調查工具盤是Deft 8.2和Back Track5。在http://chenguang.blog.51cto.com (作者的博客)提供了DEFT-vmware、BT5-vmware、OSSIM-vmware虛擬機,可供讀者下載學習研究。