10.1.1 扔掉日志文件

作者: [美]Evi Nemeth Garth Snyder Trent R.Hein 出处:人民邮电出版社 　2008-04-13 12:39　   砖    好    评论  条 　进入论坛

阅读提示：《linux系统管理技术手册》第10章重点讲了系统日志与日志文件，本节讲了扔掉日志文件。

10.1.1  扔掉日志文件

我们并不建议扔掉所有的日志信息。遭受到安全问题的站点常常会发现，日志文件提供了非法入侵的重要证据。日志文件还有助于提醒您有关硬件和软件方面的问题。总而言之，如果磁盘空间足够的话，建议至少保存数据一个月，然后才可以丢弃。在实际生活中，您可能需要很长一段时间才会意识到站点已经被黑客攻破，这时就需要查看以前的日志。如果有必要回顾更远的过去所发生的事件，那么可以从备份磁带上恢复较早的日志文件。

有些管理员听任日志文件任意增长，直到它们变成麻烦后才将其清除并从零开始。这种方案比一点儿数据都不保存要好，但这样做无法保证日志记录项能够存留任何特定的时间长度。磁盘的平均利用率也要比使用其他管理方案的利用率高。

在很个别的情况下，一个站点决定保留某些日志文件，可能不是为了任何有益的目的，而更多是为了应付传票。处于这种境地的一个站点可能会留着几周的日志数据，但是它或许要保证这些文件一定不能被存到永久性的介质上。有一个这样的案例：微软已经不止一次受到指控，其管理日志文件和电子邮件的政策破坏性过强。原告称，微软的数据保留政策无异于毁掉证据，尽管删除行动（或者至少是删除策略）是在法律诉讼之前就已经有了。遗憾的是，目前断定法庭将最终如何回应这些诉讼还为时过早 。在美国，Sarbanes-Oxley法案最近规定了保留记录的新要求，参考30.12.8节。

回书目   上一节   下一节