记录UNIX类主机的log信息-红联Linux系统门户

首先需要对Freebsd的syslog进行配置，使它允许接收来自其他服务器的log信息。
syslogd_flags="-4 -a 0/0:*"
默认的参数-s表示打开UDP端口监听，但是只监听本机的UDP端口，拒绝接收来自其他主机的log信息。如果是两个ss,即-ss，表示不打开任何UDP端口，只在本机用/dev/log设备来记录log.
修改后的参数说明：
-4 只监听IPv4端口，如果你的网络是IPv6协议，可以换成-6
-a 0/0:* 接受来自所有网段所有端口发送过来的log信息。
如果只希望syslogd接收来自某特定网段的log信息可以这样写：-a 192.168.1.0/24:*
-a 192.168.1.0/24:514或者-a 192.168.1.0/24表示仅接收来自该网段514端口的log信息，这也是freebsd的syslogd进程默认设置，也就是说freebsd 在接收来自其他主机的log信息的时候会判断对方发送信息的端口，如果对方不是用514端口发送的信息，那么freebsd的syslogd会拒绝接收信息。即，在默认情况下必须：远程IP的514端口发送到本地IP的514，
在参数中加入*,表示允许接收来自任何端口的log信息。这点，在记录UNIX类主机信息的时候感觉不到加不加有什么区别，因为UNIX类主机都是用 514端口发送和接收syslog信息的。但是在接收windows信息的时候就非常重要了。因为windows的syslog软件不用514端口发送信息，这会让默认配置的syslogd拒绝接收信息。笔者同样在linux系统下用linux的syslogd来配置log服务器，发现linux下的 syslogd就没有那么多限制，只要给syslogd加上-r参数，就可以接收来自任何主机任何端口的syslog信息，在这方面来说freebsd的默认配置安全性要比linux稍微高一点。
比如你要记录其他系统的远程登陆登出信息并指定日志存放路径，则需要修改以下行：
authpriv.* /var/log/testlog
这表示把系统的登入登出日志（包括本机系统登陆登出日志）存放到/var/log/testlog文件中。
当然，这是最简陋的做法，因为这样会把所有服务器的登陆登出信息存放在一个文件中，察看的时候很不方便，通常的做法是用一个脚本，对接收到的信息进行简单的分拣，再发送到不同的文件。
如下设置：
authpriv.* |/var/log/filter_log.sh
在记录目标前面加上“|”表示把接收到的信息交给后面的程序处理，这个程序可以是一个专门的日志处理软件，也可以是一个自己编写的小的脚本,举例：
#！/bin/sh
read stuff
SERVER=`echo $stuff |awk ‘{print $4}’`
echo $stuff >> /var/log/login_log/$SERVER.log
这个简单的脚本以IP作为分类依据，先用read读取log信息，用awk取出第四字段（即IP地址或者主机名所在的字段），以该字段为文件名存放该主机的日志。
这样一来，来自192.168.1.1的log会记录到192.168.1.1.log文件中,来自192.168.1.2的log会被记录在 192.168.1.2.log文件中，分析和归类就比较方便了。当然这是一个最简单的例子，读者可以根据自己的需求写出更好的脚本，甚至把log信息分类后插入数据库中，这样日志的管理和分析就更方便了。
最后重启一下syslogd服务，让配置生效:
/etc/rc.d/syslogd restart
OK,服务端的配置完成。现在配置一下客户端：
这里所说的客户端，就是发送自己的日志到远程日志服务器上的主机。
我们举例你只要记录系统登入登出日志到远程日志服务器上，那么只需要修改以下一行:
authpriv.* @192.168.10.100
这里的192.168.10.100就是log服务器的IP，“@”符号表示发送到远程主机。
OK，重启一下syslog服务:
Linux: /etc/init.d/syslogd restart
BSD: /etc/rc.d/syslogd restart
用logger测试一下是否配置成功：
logger -p authpriv.notice “Hello,this is a test”
到log服务器上去看看，“Hello,this is a test”应该已经被记录下了。最后在客户机上登陆登出几次，看看真实的authpriv信息是否也被成功的记录下。

记录UNIX类主机的log信息

共有 0 条评论

频道文章

最新教程

随机推荐