简诉
最近遇到一次基线检查的小部分工作,简单百度了下如何配置,
检查项名成为:检查是否配置远程日志功能,对于Linux 服务器而言,主要有rsyslog和syslog两种方式配置远程日志。本片文章就是简单了解下,实际操作时可能存在错误
syslog 与rsyslog
syslog日志收集器:
syslog是早期的centos版本的日志收集器,应该是centos5之前的版本。
syslog的两个重要的守护进程:
1、syslogd:system。主要以收集系统服务为主
2、klogd:kernel。主要以收集内核信息为主
syslog的两个重要的工作机制:
1、支持单机模式
2、支持C/S架构,可通过UDP或TCP协议提供给日志记录服务。
rsyslog日志收集器:
rsyslogd的进程名:rsyslogd
rsyslog的配置文件:/etc/rsyslog.conf
rsyslog的特性:
1、多线程
2、UDP,TCP,SSL
3、存储日志信息与MYSQL、PGSQL等数据库管理系统。
4、强大的过滤器,实现过滤日志信息中任何部分的内容。
5、自定义输出格式
客户端配置
syslog 客户端配置
配置文件中每行表示一个项目,格式为:选择.级别 动作
由两个部分组成:
第一部分:选择条件(可以有一个或者多个条件),分为两个字段。
第二部分:操作动作;
常见选择
kern 内核信息;
user 用户进程信息;
mail 电子邮件相关信息;
daemon 后台进程相关信息;
authpriv 包括特权信息如用户名在内的认证活动;
cron 计划任务信息;
syslog 系统日志信息
lpr 打印服务相关信息。
news 新闻组服务器信息
uucp uucp 生成的信息
local0----local7 本地用户信息
重要级代表消息的紧急程度
按严重程度由低到高排序:
debug 不包含函数条件或问题的其他信息
info 提供信息的消息
none 没有重要级,通常用于排错
notice 具有重要性的普通条件
warning 预警信息
err 阻止工具或某些子系统部分功能实现的错误条件
crit 阻止某些工具或子系统功能实现的错误条件
alert 需要立即被修改的条件
emerg 该系统不可用
动作
file 指定文件的绝对路径
terminal 或 prin 完全的串行或并行设备标志符
@host(@IP地址) 远程的日志服务器
实际配置示例
*.* @10.64.165.210 #所有的日志都发送
authpriv.* /var/log/secure #authpriv的所有级别都发送
rsyslog
rsyslog 客户端基础配置与syslog 配置相差不大,也有选择、级别、动作组成
远程配置时,指明TCP 与UDP
tcp稳定 . @@ip:514
udp速度快 . @ip:514
另外配置时别忘了在防火墙上开启响应的端口。
服务端配置
服务端不配置是接收不到的
syslog
编辑/etc/sysconfig/syslog文件,让服务器能够接受客户端传来的数据:
在“SYSLOGD_OPTIONS”行上加“-r”选项以允许接受外来日志消息。
rsyslog
参考这个吧
https://blog.csdn.net/h952520296/article/details/107816168
参考
https://www.cnblogs.com/FengGeBlog/p/10467617.html
https://www.cnblogs.com/skyofbitbit/p/3674664.html
https://blog.csdn.net/h952520296/article/details/107816168