5、日志服务器的搭建

2020-07-20

Linux系统安全

日志服务器的搭建

日志服务器的搭建

一、什么是日志

日志是记录系统活动信息的文件，默认系统运行产生的日志位于：/var/log。

一般记录什么时间、什么来源（IP）、什么用户、做了什么操作？

通过分析日志，有助于解决系统故障、查看非法行为等。

二、日志的分类

1、系统服务日志：记录系统在运行中产生的事件变化（/var/log/messages）。

2、系统认证日志：何时何地谁尝试登陆系统，是否成功等（/var/log/secure）。

3、系统邮件服务日志：(/var/log/maillog)

4、系统定时任务日志：(/var/log/cron)

5、系统启动信息:（/var/log/boot.log）

三、日志服务的配置文件

syslogd软件：/sbin/rsyslogd；syslog服务管理。

1、日志服务的配置文件：/etc/rsyslog.conf

###MODULES####
定义了UDP、TCP的日志监听模块
###GLOBAL DIRECTIVES###
$ActionFileDeFaultTemplate***    定义了日志显示的格式
$IncludeConfig                根据路径导入配置文件
###RULES###
服务类型（连接符号）日志信息级别；（所有信息等级>specify的日志信息写入右边的日志文件）
*.info;    mail.none;    authpriv.none;    cron.none  /var/log/messages
连接符号：
.info 表示info等级以上
.=info 表示info级别
.!info 表示除了info级别，其他的所有级别

2、日志级别

1、debug 调试信息

2、info, 普通信息

3、notice, 提醒信息

4、warning, warn (same as warning) 警告信息

5、err,error (same as err), 错误信息

6、crit, 危机信息

7、alert, 警报信息

8、emerg, panic (same as emerg) 紧急信息

四、日志备份——日志服务器的搭建

一旦服务器被入侵，日志文件被删除，依靠日志服务器中的备份日志，我们也可以对入侵行为进行分析。

日志服务器分为客户端和服务端。

服务端：接受谁的日志？用什么协议和端口传输日志？存放在哪里？

客户端：发送什么级别什么服务的日志？用什么协议和端口传输日志？发给谁？

日志服务器客户端的环境搭建

1、客户端编辑日志配置文件/etc/rsyslog.conf写备份规则与服务器地址

####begin forwarding rule####

#*.* @@remote-host：514

authpriv.*; @@日志服务器IP：端口号 (@@TCP协议、@UDP协议)

2、重启日志服务：service rsyslog restart

日志服务器服务端的环境搭建

1、服务端编辑日志配置文件/etc/rsyslog.conf

####MODULES####

$ModLoad_imtcp（TCP协议）

$InputTCPServerRun 514（监听端口）

### end of the forwarding rule ###

：属性比较操作符值存放路径

:fromhost-ip,isequal,”192.168.1.1” /var/log/client/xiaozhi.log

属性：fromhost，fromhost-ip，hostname

比较操作符：isequal startweith

值：匹配属性

2、重启日志服务：service rsyslog restart

上一篇：39-组合总和

下一篇：4、Linux网络配置