centos sniffer日志管理

CentOS Sniffer日志管理指南
Sniffer（如tcpdump、mysql-sniffer）是CentOS下常用的网络监控工具，其日志管理需围绕存储、分析、安全、清理四大核心环节展开，以下是具体策略：

一、日志收集与存储

Sniffer日志需集中存储以实现统一管理。对于tcpdump，可通过-w参数将捕获的数据包保存为文件（如sudo tcpdump -i eth0 -w /var/log/tcpdump.pcap）；对于mysql-sniffer，可通过-l参数指定日志目录（如./mysql-sniffer -l /data/log/mysql/）。建议将日志存储在专用分区（如/data/log），避免占用系统盘空间，并确保目录权限仅允许授权用户访问（如chown -R root:adm /data/log，chmod -R 750 /data/log）。

二、日志分析与查询

1. 使用专业工具解析：
   tcpdump生成的.pcap文件可使用Wireshark（wireshark /var/log/tcpdump.pcap）打开，支持深度查看数据包的源/目的IP、端口、协议及载荷内容；mysql-sniffer生成的日志文件（如3306gen.log）可通过grep、awk等命令提取关键信息（如grep "SELECT" /data/log/mysql/3306gen.log查询所有SELECT语句）。
2. 系统日志关联分析：
   若Sniffer捕获到异常流量（如大量SYN包），可通过journalctl查看系统日志（如journalctl -u sshd检查SSH登录日志），关联分析异常来源。

三、实时监测与报警

1. 关键字匹配报警：
   使用tail -f实时监控Sniffer日志，结合grep过滤关键字（如tail -f /var/log/tcpdump.log | grep --line-buffered "DROP"），当出现指定关键字（如"DROP"表示丢包）时，通过邮件或短信工具（如mailx、sendmail）发送报警。
2. 日志管理工具集成：
   部署ELK（Elasticsearch+Logstash+Kibana）或Zabbix等工具，实现日志的集中收集、实时可视化及阈值报警（如Zabbix设置“1分钟内丢包数超过100”触发报警）。

四、日志安全审计

1. 权限控制：
   限制Sniffer运行权限（如使用普通用户运行，必要时通过sudo提权），设置日志文件权限为640（属主root，属组adm），防止未授权用户访问。
2. 日志完整性保护：
   使用auditd审计Sniffer日志文件的访问（如auditctl -w /var/log/tcpdump.log -p war -k sniffer_log），记录日志文件的读取、修改、删除操作，确保日志未被篡改。

五、日志清理与归档

1. 使用logrotate自动轮转：
   为Sniffer日志创建专用配置文件（如/etc/logrotate.d/sniffer），设置轮转规则（示例）：

   /var/log/tcpdump.log {
       daily
       rotate 7
       compress
       delaycompress
       missingok
       notifempty
       create 640 root adm
   }
   

   该配置表示每日轮转日志，保留7个压缩旧日志（compress），跳过空日志（notifempty），创建新日志时权限为640。
2. 手动清理临时日志：
   对于不再需要的临时Sniffer日志（如测试用的capture.pcap），可使用rm命令删除（如sudo rm /var/log/capture.pcap），或使用truncate清空文件（如sudo truncate -s 0 /var/log/tcpdump.log）。

通过以上策略，可实现CentOS Sniffer日志的有效管理，提升网络监控效率，保障系统安全。