業(yè)界重磅新書《UNIX/Linux網(wǎng)絡日志分析與流量監(jiān)控》首

《UNIX/Linux網(wǎng)絡日志分析與流量監(jiān)控》

出版社官網(wǎng)：?http://www.cmpbook.com/stackroom.php?id=39384?

日志分析是系統(tǒng)管理員的基本技能。UNIX/Linux系統(tǒng)提供了強大的日志系統(tǒng)，為管理員查找和發(fā)現(xiàn)問題提供了強有力的支持。本書以講故事的形式，將作者的親身實戰(zhàn)經(jīng)歷融入其中，仿佛福爾摩斯在向華生講述整個案情的來龍去脈，讓讀者在跟隨作者分析的過程中，了解UNIX/Linux日志分析的竅門。本書語言通俗易懂，結合案例情景，易于實踐操作。

更重要的是，系統(tǒng)管理員（包括各類IT從業(yè)者）通過本書，不僅可以學習到UNIX/ Linux日志的作用，還可以舉一反三，站在更高的角度看待IT運維和系統(tǒng)安全。只有整體看待這些問題，才能增加系統(tǒng)的穩(wěn)定性和安全性，將系統(tǒng)管理員從日常事務中解脫出來。

?

——吳玉征? 51CTO副主編（原〈計算機世界〉報副總編）

?

?

本書作者李晨光先生是51CTO專家博主，他的文章深受技術同行關注。作者在2011～2013年度中國IT博客大賽中被評為“十大杰出IT博客”，一個如此優(yōu)秀的博主寫的書肯定值得一看。此書詳細介紹了UNIX/Linux平臺下日志分析方法和計算機取證技巧，并以講故事的形式，介紹日志分析的全過程，其最大亮點是將UNIX/Linux系統(tǒng)中枯燥的技術問題，通過生動案例展現(xiàn)出來，每個案例讀完后都能讓系統(tǒng)管理員們有所收獲。讀完這本書你一定不會后悔。

?

——曹亞莉? 51CTO博客總編、51CTO學院高級運營經(jīng)理

?

《Unix/Linux網(wǎng)絡日志分析與流量監(jiān)控》這本書以企業(yè)網(wǎng)絡安全運維作為背景，不但詳細分析了如今比較典型的安全問題，包括DDOS***、無線***、惡意代碼、SQL注入等等案例以及補救措施，更是能夠讓企業(yè)運維人員了解并熟悉使用目前最受歡迎的Ossim開源系統(tǒng)，挖掘網(wǎng)絡安全問題。作者用10來年的經(jīng)驗分享，無論您是網(wǎng)絡工程師，系統(tǒng)管理員還是信息安全人員，都將在本書中與作者產(chǎn)生共鳴。本書最大的亮點不同于其他安全書籍，它所給讀者傳遞的是一種解決問題的思路和方法，而不是簡簡單單的案例講解。授之以漁，值得推薦。

?

——任麗萍 51CTO讀書頻道 主管

李晨光老師是ChinaUnix專家博主，在UNIX/Linux領域研究多年，對日志分析技術有獨到見解。這本《UNIX/Linux網(wǎng)絡日志分析與流量監(jiān)控》是業(yè)界第一本基于UNIX/Linux環(huán)境，講解應用系統(tǒng)日志收集、分析方法的專著，是李老師多年沉淀的技術結晶。書中采用大量鮮活的案例，生動地展示了系統(tǒng)漏洞防范、惡意代碼分析、DoS分析、惡意流量過濾等安全防護技術，深入分析了諸多系統(tǒng)管理員的錯誤維護方法及誤區(qū)，對安全工作者有很好的參考價值。如果你對網(wǎng)絡安全、日志分析感興趣，我們強烈推薦此書。

?

——ChinaUnix技術社區(qū)

?

?

運維人員都很清楚，非?？菰镉植坏貌蛔龅氖虑榫褪?a title="服務器" target="_blank" href="http://kemok4.com/">服務器日志文件分析和流量監(jiān)控。盡管現(xiàn)在有很多相關工具和軟件，但真正將它們與自己的實際工作相結合時，往往力不從心。這本《UNIX/Linux網(wǎng)絡日志分析與流量監(jiān)控》以案例驅動的形式從 UNIX/Linux系統(tǒng)的原始日志（Raw Log）采集、分析到日志審計與取證環(huán)節(jié)都進行了詳細的介紹和說明，內容非常豐富，中間還穿插了很多小故事，毫不枯燥，讓您在輕松的閱讀環(huán)境中提升自己的日志分析技能。如果是運維人員或想成為運維人員，您值得擁有！

?

——ITPUB技術社區(qū)

?

?

隨著網(wǎng)絡威脅的日益嚴峻，信息安全問題受到越來越多的用戶關注。而針對UNIX/ Linux系統(tǒng)的安全探討，李晨光老師的這本《UNIX/Linux網(wǎng)絡日志分析與流量監(jiān)控》顯然是非常不錯的選擇，本書通過一個個生動的案例將UNIX/Linux系統(tǒng)下的安全問題進行了深入淺出的剖析，讓你可以更好地消化其中的方法和技術，非常值得一讀。

?

——董建偉? IT168安全頻道主編

? ?本書從UNIX/Linux系統(tǒng)的原始日志（Raw Log）采集與分析講起，逐步深入到日志審計與計算機取證環(huán)節(jié)。書中提供了多個案例，每個案例都以一種生動的記事手法講述了網(wǎng)絡遭到***之后，管理人員開展系統(tǒng)取證和恢復的過程，案例分析手法帶有故事情節(jié)，使讀者身臨其境地檢驗自己的應急響應和計算機取證能力。

? ?本書使用的案例都是作者從系統(tǒng)維護和取證工作中總結、篩選出來的，這些內容對提高網(wǎng)絡維護水平和事件分析能力有重要的參考價值。如果你關注網(wǎng)絡安全，那么書中的案例一定會引起你的共鳴。本書適合有一定經(jīng)驗的UNIX/Linux系統(tǒng)管理員和信息安全人士參考。

1．為什么寫這本書

? ?國內已出版了不少網(wǎng)絡***等安全方面的書籍，其中多數(shù)是以Windows平臺為基礎。但互聯(lián)網(wǎng)應用服務器大多架構在UNIX/Linux系統(tǒng)之上，讀者迫切需要了解有關這些系統(tǒng)的安全案例。所以我決心寫一本基于UNIX/Linux的書，從一個白帽的視角，為大家講述企業(yè)網(wǎng)中UNIX/Linux系統(tǒng)在面臨各種網(wǎng)絡威脅時，如何通過日志信息查找問題的蛛絲馬跡，修復網(wǎng)絡漏洞，構建安全的網(wǎng)絡環(huán)境。

2．本書特點與結構

? ?書中案例覆蓋了如今網(wǎng)絡應用中典型的***類型，例如DDoS、惡意代碼、緩沖區(qū)溢出、Web應用***、IP碎片***、中間人***、無線網(wǎng)***及SQL注入***等內容。每段故事首先描述一起安全事件。然后由管理員進行現(xiàn)場勘查，收集各種信息（包括日志文件、拓撲圖和設備配置文件），再對各種安全事件報警信息進行交叉關聯(lián)分析，并引導讀者自己分析***原因，將讀者帶入案例中。最后作者給出***過程的來龍去脈，在每個案例結尾提出針對這類***的防范手段和補救措施，重點在于告訴讀者如何進行系統(tǒng)和網(wǎng)絡取證，查找并修復各種漏洞，從而進行有效防御。

全書共有14章，可分為三篇。

? ?第一篇日志分析基礎（第1～3章），是全書的基礎，對于IT運維人員尤為重要，系統(tǒng)地總結了UNIX/Linux系統(tǒng)及各種網(wǎng)絡應用日志的特征、分布位置以及各字段的作用，包括Apache日志、FTP日志、Squid日志、NFS日志、Samba日志、iptables日志、DNS日志、DHCP日志、郵件系統(tǒng)日志以及各種網(wǎng)絡設備日志，還首次提出了可視化日志分析的實現(xiàn)技術，首次曝光了計算機系統(tǒng)在司法取證當中所使用的思路、方法、技術和工具，這為讀者有效記錄日志、分析日志提供了扎實的基礎，解決了讀者在日志分析時遇到的“查什么”、“怎么查”的難題。最后講解了日志采集的實現(xiàn)原理和技術方法，包括開源和商業(yè)的日志分析系統(tǒng)的搭建過程。

? ?第二篇日志分析實戰(zhàn)（第4～12章），講述了根據(jù)作者親身經(jīng)歷改編的一些小故事，再現(xiàn)了作者當年遇到的各種網(wǎng)絡***事件的發(fā)生、發(fā)展和處理方法、預防措施等內容，用一個個網(wǎng)絡運維路上遇到的“血淋淋”的教訓來告誡大家，如果不升級補丁會怎么樣，如果不進行系統(tǒng)安全加固又會遇到什么后果。這些案例包括Web網(wǎng)站崩潰、DNS故障、遭遇DoS***、Solaris安插后門、遭遇溢出***、rootkit***、蠕蟲***、數(shù)據(jù)庫被SQL注入、服務器淪為跳板、IP碎片***等。

? ?第三篇網(wǎng)絡流量與日志監(jiān)控（第13、14章），用大量實例講解流量監(jiān)控原理與方法，例如開源軟件Xplico的應用技巧，NetFlow在異常流量中的應用。還介紹了用開源的OSSIM安全系統(tǒng)建立網(wǎng)絡日志流量監(jiān)控網(wǎng)絡。

? ?本書從網(wǎng)絡安全人員的視角展現(xiàn)了網(wǎng)絡***發(fā)生時，當你面臨千頭萬緒的線索時如何從中挖掘關鍵問題，并最終得以解決。書中案例采用獨創(chuàng)的情景式描述，通過一個個鮮活的IT場景，反映了IT從業(yè)者在工作中遇到的種種難題。案例中通過互動提問和開放式的回答，使讀者不知不覺中掌握一些重要的網(wǎng)絡安全知識和實用的技術方案。

? ?本書案例中的IP地址、域名信息均為虛構，而解決措施涉及的下載網(wǎng)站以及各種信息查詢網(wǎng)站是真實的，具有較高參考價值。書中有大量系統(tǒng)日志,這些日志是網(wǎng)絡故障取證處理時的重要證據(jù)，由于涉及保密問題，所有日志均做過技術處理。

由于時間緊，能力有限，書中不當之處在所難免，還請各位讀者到我的博客多多指正。

3．本書實驗環(huán)境

? ?本書選取的UNIX平臺為Solaris和FreeBSD，Linux平臺主要為Red Hat和Debian Linux。涉及取證調查工具盤是Deft 8.2和Back Track5。在http://chenguang.blog.51cto.com （作者的博客）提供了DEFT-vmware、BT5-vmware、OSSIM-vmware虛擬機，可供讀者下載學習研究。

精彩樣章試讀