業界重磅新書《UNIX/Linux網絡日志分析與流量監控》首

《UNIX/Linux網絡日志分析與流量監控》

出版社官網：?http://www.cmpbook.com/stackroom.php?id=39384?

日志分析是系統管理員的基本技能。UNIX/Linux系統提供了強大的日志系統，為管理員查找和發現問題提供了強有力的支持。本書以講故事的形式，將作者的親身實戰經歷融入其中，仿佛福爾摩斯在向華生講述整個案情的來龍去脈，讓讀者在跟隨作者分析的過程中，了解UNIX/Linux日志分析的竅門。本書語言通俗易懂，結合案例情景，易于實踐操作。

更重要的是，系統管理員（包括各類IT從業者）通過本書，不僅可以學習到UNIX/ Linux日志的作用，還可以舉一反三，站在更高的角度看待IT運維和系統安全。只有整體看待這些問題，才能增加系統的穩定性和安全性，將系統管理員從日常事務中解脫出來。

?

——吳玉征? 51CTO副主編（原〈計算機世界〉報副總編）

?

?

本書作者李晨光先生是51CTO專家博主，他的文章深受技術同行關注。作者在2011～2013年度中國IT博客大賽中被評為“十大杰出IT博客”，一個如此優秀的博主寫的書肯定值得一看。此書詳細介紹了UNIX/Linux平臺下日志分析方法和計算機取證技巧，并以講故事的形式，介紹日志分析的全過程，其最大亮點是將UNIX/Linux系統中枯燥的技術問題，通過生動案例展現出來，每個案例讀完后都能讓系統管理員們有所收獲。讀完這本書你一定不會后悔。

?

——曹亞莉? 51CTO博客總編、51CTO學院高級運營經理

?

《Unix/Linux網絡日志分析與流量監控》這本書以企業網絡安全運維作為背景，不但詳細分析了如今比較典型的安全問題，包括DDOS***、無線***、惡意代碼、SQL注入等等案例以及補救措施，更是能夠讓企業運維人員了解并熟悉使用目前最受歡迎的Ossim開源系統，挖掘網絡安全問題。作者用10來年的經驗分享，無論您是網絡工程師，系統管理員還是信息安全人員，都將在本書中與作者產生共鳴。本書最大的亮點不同于其他安全書籍，它所給讀者傳遞的是一種解決問題的思路和方法，而不是簡簡單單的案例講解。授之以漁，值得推薦。

?

——任麗萍 51CTO讀書頻道 主管

李晨光老師是ChinaUnix專家博主，在UNIX/Linux領域研究多年，對日志分析技術有獨到見解。這本《UNIX/Linux網絡日志分析與流量監控》是業界第一本基于UNIX/Linux環境，講解應用系統日志收集、分析方法的專著，是李老師多年沉淀的技術結晶。書中采用大量鮮活的案例，生動地展示了系統漏洞防范、惡意代碼分析、DoS分析、惡意流量過濾等安全防護技術，深入分析了諸多系統管理員的錯誤維護方法及誤區，對安全工作者有很好的參考價值。如果你對網絡安全、日志分析感興趣，我們強烈推薦此書。

?

——ChinaUnix技術社區

?

?

運維人員都很清楚，非常枯燥又不得不做的事情就是服務器日志文件分析和流量監控。盡管現在有很多相關工具和軟件，但真正將它們與自己的實際工作相結合時，往往力不從心。這本《UNIX/Linux網絡日志分析與流量監控》以案例驅動的形式從 UNIX/Linux系統的原始日志（Raw Log）采集、分析到日志審計與取證環節都進行了詳細的介紹和說明，內容非常豐富，中間還穿插了很多小故事，毫不枯燥，讓您在輕松的閱讀環境中提升自己的日志分析技能。如果是運維人員或想成為運維人員，您值得擁有！

?

——ITPUB技術社區

?

?

隨著網絡威脅的日益嚴峻，信息安全問題受到越來越多的用戶關注。而針對UNIX/ Linux系統的安全探討，李晨光老師的這本《UNIX/Linux網絡日志分析與流量監控》顯然是非常不錯的選擇，本書通過一個個生動的案例將UNIX/Linux系統下的安全問題進行了深入淺出的剖析，讓你可以更好地消化其中的方法和技術，非常值得一讀。

?

——董建偉? IT168安全頻道主編

? ?本書從UNIX/Linux系統的原始日志（Raw Log）采集與分析講起，逐步深入到日志審計與計算機取證環節。書中提供了多個案例，每個案例都以一種生動的記事手法講述了網絡遭到***之后，管理人員開展系統取證和恢復的過程，案例分析手法帶有故事情節，使讀者身臨其境地檢驗自己的應急響應和計算機取證能力。

? ?本書使用的案例都是作者從系統維護和取證工作中總結、篩選出來的，這些內容對提高網絡維護水平和事件分析能力有重要的參考價值。如果你關注網絡安全，那么書中的案例一定會引起你的共鳴。本書適合有一定經驗的UNIX/Linux系統管理員和信息安全人士參考。

1．為什么寫這本書

? ?國內已出版了不少網絡***等安全方面的書籍，其中多數是以Windows平臺為基礎。但互聯網應用服務器大多架構在UNIX/Linux系統之上，讀者迫切需要了解有關這些系統的安全案例。所以我決心寫一本基于UNIX/Linux的書，從一個白帽的視角，為大家講述企業網中UNIX/Linux系統在面臨各種網絡威脅時，如何通過日志信息查找問題的蛛絲馬跡，修復網絡漏洞，構建安全的網絡環境。

2．本書特點與結構

? ?書中案例覆蓋了如今網絡應用中典型的***類型，例如DDoS、惡意代碼、緩沖區溢出、Web應用***、IP碎片***、中間人***、無線網***及SQL注入***等內容。每段故事首先描述一起安全事件。然后由管理員進行現場勘查，收集各種信息（包括日志文件、拓撲圖和設備配置文件），再對各種安全事件報警信息進行交叉關聯分析，并引導讀者自己分析***原因，將讀者帶入案例中。最后作者給出***過程的來龍去脈，在每個案例結尾提出針對這類***的防范手段和補救措施，重點在于告訴讀者如何進行系統和網絡取證，查找并修復各種漏洞，從而進行有效防御。

全書共有14章，可分為三篇。

? ?第一篇日志分析基礎（第1～3章），是全書的基礎，對于IT運維人員尤為重要，系統地總結了UNIX/Linux系統及各種網絡應用日志的特征、分布位置以及各字段的作用，包括Apache日志、FTP日志、Squid日志、NFS日志、Samba日志、iptables日志、DNS日志、DHCP日志、郵件系統日志以及各種網絡設備日志，還首次提出了可視化日志分析的實現技術，首次曝光了計算機系統在司法取證當中所使用的思路、方法、技術和工具，這為讀者有效記錄日志、分析日志提供了扎實的基礎，解決了讀者在日志分析時遇到的“查什么”、“怎么查”的難題。最后講解了日志采集的實現原理和技術方法，包括開源和商業的日志分析系統的搭建過程。

? ?第二篇日志分析實戰（第4～12章），講述了根據作者親身經歷改編的一些小故事，再現了作者當年遇到的各種網絡***事件的發生、發展和處理方法、預防措施等內容，用一個個網絡運維路上遇到的“血淋淋”的教訓來告誡大家，如果不升級補丁會怎么樣，如果不進行系統安全加固又會遇到什么后果。這些案例包括Web網站崩潰、DNS故障、遭遇DoS***、Solaris安插后門、遭遇溢出***、rootkit***、蠕蟲***、數據庫被SQL注入、服務器淪為跳板、IP碎片***等。

? ?第三篇網絡流量與日志監控（第13、14章），用大量實例講解流量監控原理與方法，例如開源軟件Xplico的應用技巧，NetFlow在異常流量中的應用。還介紹了用開源的OSSIM安全系統建立網絡日志流量監控網絡。

? ?本書從網絡安全人員的視角展現了網絡***發生時，當你面臨千頭萬緒的線索時如何從中挖掘關鍵問題，并最終得以解決。書中案例采用獨創的情景式描述，通過一個個鮮活的IT場景，反映了IT從業者在工作中遇到的種種難題。案例中通過互動提問和開放式的回答，使讀者不知不覺中掌握一些重要的網絡安全知識和實用的技術方案。

? ?本書案例中的IP地址、域名信息均為虛構，而解決措施涉及的下載網站以及各種信息查詢網站是真實的，具有較高參考價值。書中有大量系統日志,這些日志是網絡故障取證處理時的重要證據，由于涉及保密問題，所有日志均做過技術處理。

由于時間緊，能力有限，書中不當之處在所難免，還請各位讀者到我的博客多多指正。

3．本書實驗環境

? ?本書選取的UNIX平臺為Solaris和FreeBSD，Linux平臺主要為Red Hat和Debian Linux。涉及取證調查工具盤是Deft 8.2和Back Track5。在http://chenguang.blog.51cto.com （作者的博客）提供了DEFT-vmware、BT5-vmware、OSSIM-vmware虛擬機，可供讀者下載學習研究。

精彩樣章試讀