配置中心日志服务器

作者:tKC 发布时间:August 25, 2011 分类:IT技术,网络安全

出于安全考虑,日志变得至关重要,配置一个中心日志服务器用来收集整个网络的日志变得必要起来。

本文介绍如何在Redhat AS5上安装配置基于syslog-ng的日志服务器。

首先做基本系统安装,这个略过,如过不会请google搜索。

由于系统自带的syslog过于陈旧,功能不够强大,更主要的,对于我来说,它不能将不同机器的日志分开不同文件存储。

所以我选择syslog-ng,它可以通过过滤器将不同机器不同内容的日志进行分割存储在不同的文件中。

安装eventlog和syslog-ng两个软件,如果有问题,可以强制使用下面命令进行安装,有一定风险,如果你知道你在干什么的话

rpm -ivh eventlog-0.2.7-3.el5.i386.rpm
rpm -Uvh –replacefiles syslog-ng-2.1.4-1.el5.i386.rpm


你下载的版本号可能和我的不一样,不过没关系,呵呵,语法参数一样的,开始我想先卸载syslog,结果发现它要卸载一百多个软件,无奈才使用上面的参数强制替换安装的。

接下来是配置,只有一个/etc/syslog-ng/syslog-ng.conf

需要修改的内容,请直接按下面的配置修改或增加

options {
sync (0);
time_reopen (10);
log_fifo_size (1000);
long_hostnames (off);
use_dns (no);
use_fqdn (no);
create_dirs (no);
keep_hostname (no);#此处建议改为no,否则可能记录到的是计算机名,不利于统计分析
};

source s_sys {
file (\”/proc/kmsg\” log_prefix(\”kernel: \”));
unix-stream (\”/dev/log\”);
internal();
udp(ip(0.0.0.0) port(514));#修改或增加这一行,允许外部数据进来
};

#Linux主机登录日志过滤存储
destination d_auth_1 { file(\”/var/log/192.168.0.1_secure\”); };#此处设定存储位置
filter f_auth_1 { facility(authpriv) and host(\”192.168.0.1\”); };#此处设定过滤内容,authpriv和IP必须是192.168.0.1
log { source(s_sys); filter(f_auth_1); destination(d_auth_1); };#此处读取前面的设定写入日志文件

#Windows服务器日志存储

destination d_auth_2{ file(\”/var/log/192.168.0.2_secure\”); };#设定日志存储位置和名称
filter f_auth_2 { host(\”192.168.0.2\”); };#过滤IP为192.168.0.2的记录
log { source(s_sys); filter(f_auth_0.2); destination(d_auth_0.2); };#存储符合条件的日志到定义的日志文件

最后重启syslog-ng服务即可

/etc/init.d/syslog-ng restart

注:别忘了停用原来的syslog服务,和把syslog-ng改为自动启动

标签: log

添加新评论 »

captcha
请输入验证码