用Iptables -j LOG选项控制syslog信息, 并用rsyslog来记录远程日志

最新推荐文章于 2023-05-23 09:29:24 发布
最新推荐文章于 2023-05-23 09:29:24 发布
阅读量4.1k 收藏 1
点赞数 1
分类专栏: iptables syslog 文章标签: syslog
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/adamska0104/article/details/42584173
版权
本文介绍了如何在Ubuntu 14.04上配置rsyslog作为客户端发送UDP日志到远程服务器,并通过修改rsyslog配置文件设置日志存储位置。同时,文章还展示了如何使用iptables的-j LOG选项来记录网络流量,并通过tail-f命令查看syslog日志。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

操作系统:ubuntu14.04传输方式:udp


rsyslog分 客户端 和 服务端,客户端是用来发送日志的,服务端是远程日志服务器,用来记录日志。


rsyslog的配置文件,要用到的有两个:

1./etc/rsyslog.conf 2. /etc/rsyslog.d/50-default.conf


步骤:

1.客户端配置

/etc/rsyslog.conf文件里添加

$ModLoadimuxsock # provides support for local system logging

$ModLoadimklog # provides kernel logging support


#provides UDP syslog reception (Input plugin for UDP syslog. Replacesthe deprecated -r option.)

$ModLoadimudp #载入udp发送模块

$UDPServerRun514 #514udp远程默认端口


#log remote server ip

*.* @192.168.75.101 #比如远端服务器地址是192.168.75.101

最低0.47元/天 解锁文章
linux记录端口访问日志,iptables+rsyslog(syslog)+logrotate访问日志分析
weixin_32593879的博客
04-30 1464
最近,因为相应的业务需求需要对服务器的相应服务做访问分析,在做之前大致思考了下,可以利用iptableslog日志功能用来做相应的日志分析,在此就以做ssh端口访问做日志分析来简单讲解下,在实际生产环境下也可以根据实际情况调整,可以用来做WEB服务等等的相应的访问日志分析。首先,在使用日志分析之前最重要的就是iptableslog功能,至于iptables中的log功能使用 也很简单,在开启后...
linux nat 日志,IPtables日志管理  (记录NAT信息)
weixin_33491377的博客
05-06 1951
Iptables的手册中提到LOGtarget这个target是专门用来记录数据包有关信息的。这些信息可能是非法的,那就可以用来除错。LOG会返回包的有关细节,如IP头的大部分和其他有趣的信息。这个功能是通过内核的日志工具完成的,一般是syslogd。返回的信息可用dmesg阅读,或者可以直接查看syslogd的日志文件,也可以用其他的什么程序来看。LOG对调试规则有很大的帮助,你可以看到包去了哪...
iptables+rsyslog(syslog)+logrotate访问日志分析
weixin_33675507的博客
06-25 294
最近,因为相应的业务需求需要对服务器的相应服务做访问分析,在做之前大致思考了下,可以利用iptableslog日志功能用来做相应的日志分析,在此就以做ssh端口访问做日志分析来简单讲解下,在实际生产环境下也可以根据实际情况调整,可以用来做WEB服务等等的相应的访问日志分析。 首先,在使用日志分析之前最重要的就是iptableslog功能,至于iptables中的...
iptablesLOG目标
adamska0104的专栏
10-26 9247
2009-08-31 12:55:43|  分类: Linux操作系统管 |  标签: |举报 |字号大中小 订阅           下载LOFTER客户端 iptables 防火墙与日志系统配合使用的一个例子 1)、# iptables –A INPUT –p tcp --dport 22 –j LOG --log-level 5 --lo
启用iptableslog
贾亮的专栏
05-28 1036
use insert to insert the rule into the first entry to input table, or your packet maybe drop by the previous rule # iptables -I INPUT -j LOG log file is here check with below command Show only kernel messages. This implies -b and adds the match “_TRANSPO
iptables
热门推荐
Jack Zhou的专栏
01-22 1万+
1、iptables概述:iptables是基于内核的防火墙,一个强大的IPv4包过滤和NAT的管理工具。它可以用来设置、维护和检查Linux内核中的IPv4包过滤规则表。用户通过iptables,可以对进出你的计算机的数据包进行过滤。通过iptables命令设置你的规则,来把守你的计算机网络──哪些数据允许通过,哪些不能通过,哪些通过的数据进行记录log)。我们可以定义一些不同的表。每种表包含一系列内建的链或用户自定义的链。每个链是一组规则以匹配一组数据包。每条规则指定了对所匹配的数据包所执行的
syslog4j mysql_syslog详解及配置远程发送日志远程日志分类
weixin_39587246的博客
01-19 531
1、日志协议syslog1.1、syslog简介完善的日志分析系统应该能够通过多种协议(包括syslog等)进行日志采集并对日志分析,因此日志分析系统首先需要实现对多种日志协议的解析。其次,需要对收集到的海量日志信息进行分析,再利用数据挖掘技术,发现隐藏再日志里面的安全问题。Syslog再UNIX系统中应用非常广泛,它是一种标准协议,负责记录系统事件的一个后台程序,记录内容包括核心、系统程序的运行...
log4j集成Rsyslog系统日志详解
sunny_na的博客
03-23 2636
安装配置的步骤(以rsyslog为例): 查看系统上是不是自带rsyslog   查看/etc/目录下有没有rsyslog服务,或者有没有rsyslog.conf修改rsyslog配置文件,路径为:/etc/sysconfig/rsyslog,如果改路径下没有此文件,需要自己手动建立修改rsyslog.conf配置文件,路径为:/etc/rsyslog.conf修改完成后,一定要重启rsys
[iptables]iptables 添加logsyslog
03-26 312
比如iptables本来有这么一条: -A PREROUTING -d 125.65.27.xxx/32 -p tcp -m tcp --dport 11060 -j DNAT --to-destination 10.1.104.41:911 要将符合该条记录的封包的信息记录syslog 需要在之前插入一条: iptables -t nat -I PREROUTING 1 -d...
iptables 设置log
weixin_33728708的博客
03-07 381
[root@test01 ~]# cat /etc/syslog.conf | grep -i local5 local5.* /var/log/iptables [root@test01 ~]# logger -p local5.debug "test 爱爱爱" [root@test01 ~]# ...
iptables log日志
paopaolele的博客
05-23 3417
iptables日志设置 xt_LOG.ko
【博客621】iptables -J动作总结
qq_43684922的博客
02-18 1322
通过MASQUERADE即可解决这个问题,MASQUERADE会动态的将源地址转换为可用的IP地址,其实与SNAT实现的功能完全一致,都是修改源地址,只不过SNAT需要指明将报文的源地址改为哪个IP,而MASQUERADE则不用指定明确的IP,会动态的将报文的源地址修改为指定网卡上可用的IP地址。LOG动作只负责记录匹配到的报文的相关信息,不负责对报文的其他处理,如果想要对报文进行进一步的处理,可以在之后设置具体规则,进行进一步的处理。作用:用于接收匹配的流量,使得流量继续往后面的规则和链路去匹配。
iptables】用iptables结合rsyslog,实现对源ip的日志记录
michaelwoshi的博客
03-08 4562
一、实验背景 用iptables做端口转发,希望能记录转发的源IP到日志文件中。 二、实验环境 虚拟机:test03 IP:192.168.124.5 模拟客户端访问者 虚拟机:test01 IP:192.168.124.6 模拟跳板机转发服务器 虚拟机:test02 IP:192.168.124.7 模拟后端服务器 在test02后...
Linux中使用iptables记录网络访问日志
beeworkshop的博客
03-02 7107
文章目录一、配置实例二、自定义iptables输出日志的存放位置1. CentOS2. Ubuntu 一、配置实例 iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m limit --limit 4/min -j LOG --log-prefix "Iptables-SSH-IN: " --log-level 4 iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j ACC
oracle linux 防火墙 iptables,Linux_LINUX下防火墙iptables日志管理,iptables日志log)由syslogd纪 - phpStudy...
weixin_42421177的博客
04-02 153
iptables日志(log)由syslogd纪录和管理。初始存放在 /var/log/messages里面。自动采取循环纪录(rotation)的方式记录。但是由于混在 messages中,对于管理和监视产生了不便。这里,我简单介绍一下我的 iptables日志的管理,循环,和自动报告生成的经验:由于iptables是linux的内核本身的功能,由dmesg或syslogd的facility结...
linux记录iptables日志,linux – 如何配置syslog.conf文件,在单独的文件中记录iptables消息?...
weixin_33259400的博客
05-02 289
如何配置/etc/syslog.conf文件以便在特定文件中保存有关iptables日志信息.我想单独保存这些信息,这样我就可以轻松快速地提取出我想要的内容.解决方法:系统日志看一下iptables的手册页.它显示了一个名为LOG的目标,它可以做你想要的.例>将LOG日志记录级别设置为4.# DROP everything and Log itiptables -A INPUT -j L...
iptable使用
qq_41619571的博客
02-11 850
一、基本信息 1、iptables表、链结构 2、指令的组成 iptables [-t 表名] 选项 [链名] [条件] [-j 目标操作] 3、基本目标操作 关键字 含义 ACCEPT 允许通过/放行 DROP 直接丢弃,不给出任何回应 REJECT 拒绝通过,必要时会给出提示 LOG 记录日志,传给下一条规则 (匹配即停止,规律的唯一例外) 4、常用管理选项 二、案例 1、限制来源IP [root@QQ ~]# ip..
linux禁止访问syslog服务,Linux syslog服务
weixin_33914679的博客
05-10 594
一、syslog日志服务:1、守护进程:syslog2、端口:5143、配置文件:/etc/syslog.conf4、常见日志文件:/var/log/dmesg 内核引导信息日志/var/log/message 标准系统错误信息日志/var/log/maillog 邮件系统信息日志/var/log/cron 计划任务日志/var/log/secure 安全信息日志二、 配置文件...
syslog客户端syslog推送主机操作日志syslog服务端,syslog服务器服务端用于接收syslog推送来的日志如何固定到某个文件,注意服务端只有syslog服务,无rsyslog服务
最新发布
04-01
<think>好的,我现在要解决的问题是:如何在只有syslog服务的服务器上,将接收到的syslog客户端推送的日志固定保存到某个特定文件中。用户提到服务端没有rsyslog,所以需要基于传统的syslog服务配置。 首先,我需要回忆一下syslog的基本配置方法。syslog的配置文件通常是/etc/syslog.conf或者/etc/syslog-ng/syslog-ng.conf,但用户提到服务端只有syslog服务,可能是指传统的syslogd,而不是rsyslog或者syslog-ng。因此,应该检查/etc/syslog.conf这个文件。 接下来,syslog的配置规则通常是按设施(facility)和优先级(priority)来分类日志。比如,auth、user、kern等是设施,而debug、info、notice等是优先级。用户希望将所有来自客户端的日志写入特定文件,可能需要确定客户端发送日志时使用的设施和优先级。 假设客户端使用默认的设施,比如user设施,或者可能使用local0到local7这些自定义设施。如果客户端未指定,默认可能是user。或者,可能需要配置客户端指定一个特定的设施,比如local0,然后在服务端针对该设施进行配置。 例如,如果客户端配置使用local0设施发送日志,那么在服务端的syslog.conf中添加一行: local0.* /var/log/custom.log 这样所有设施为local0,任何优先级的日志都会写入/var/log/custom.log。 另外,需要确认服务端syslog服务是否支持本地日志文件的配置。传统syslogd的语法是设施.优先级 目标文件。所以正确的语法可能如上述例子。 还需要考虑日志轮转的问题,但用户暂时只需要固定到某个文件,可能不需要处理轮转。不过要注意,syslog可能需要重启才能应用配置更改,所以修改配置文件后需要执行service syslog restart或者/etc/init.d/syslog restart之类的命令。 另外,如果客户端发送的日志没有被任何规则匹配,可能会被记录到默认文件中,比如/var/log/messages。因此,服务端的配置需要确保正确匹配客户端使用的设施和优先级。 如果客户端发送的日志使用的是udp协议,默认端口是514,服务端的syslogd需要监听该端口。可能需要检查syslog的配置是否有$ModLoad imudp这样的模块加载(不过这可能属于rsyslog的配置,而用户的环境是传统syslogd)。传统syslogd可能需要通过参数启动来监听udp端口,比如在启动选项里添加-r,允许接收远程日志。 总结步骤应该是: 1. 确定客户端使用的syslog设施和优先级。 2. 在服务端的/etc/syslog.conf中添加对应的规则,将匹配的日志写入指定文件。 3. 确保syslog服务配置为接收远程日志(可能需要配置选项或启动参数)。 4. 重启syslog服务使配置生效。 5. 测试客户端发送日志,查看是否写入指定文件。 需要注意的是,不同版本的syslogd可能有细微差别,比如配置文件的位置或语法。如果用户的环境中syslog.conf不存在,可能需要检查其他可能的配置文件路径,或者确认确实使用的是syslogd而非其他实现。</think>要将syslog服务端接收的日志固定到指定文件,可按以下步骤操作: ### 一、确定客户端使用的日志设施 1. **客户端配置**:确认客户端发送日志时使用的设施(如`local0`至`local7`)。例如,客户端配置可能包含: ```bash *.* @syslog-server-ip:514 # 默认使用user设施 ``` 如需指定设施,客户端可配置为: ```bash local0.* @syslog-server-ip:514 ``` ### 二、配置服务端syslog 1. **编辑配置文件**: ```bash vi /etc/syslog.conf # 传统syslogd的配置文件路径 ``` 2. **添加规则**: 假设客户端使用`local0`设施,添加以下行: ```bash local0.* /var/log/custom.log ``` - `local0.*`:匹配`local0`设施的所有优先级日志- `/var/log/custom.log`:目标文件路径。 3. **创建日志文件并设置权限**: ```bash touch /var/log/custom.log chmod 644 /var/log/custom.log ``` ### 三、启用远程日志接收 1. **确保syslogd监听UDP 514**: 检查服务端syslog启动参数是否包含`-r`选项(允许接收远程日志)。编辑启动脚本(如`/etc/default/syslogd`): ```bash SYSLOGD_OPTIONS="-r" # 添加或修改该参数 ``` ### 四、重启syslog服务 1. **应用配置**: ```bash service syslog restart # 或 /etc/init.d/syslog restart ``` ### 五、验证配置 1. **客户端发送测试日志**: ```bash logger -p local0.info "Test message from client" ``` 2. **检查服务端日志文件**: ```bash tail -f /var/log/custom.log ``` ### 六、注意事项 1. **日志轮转**:如需自动轮转日志,需额外配置`logrotate`,添加`/var/log/custom.log`到轮转规则。 2. **防火墙设置**:确保服务端UDP 514端口开放: ```bash iptables -A INPUT -p udp --dport 514 -j ACCEPT ``` ### 附:配置文件示例 `/etc/syslog.conf`内容片段: ```bash # 接收所有设施的远程日志(不推荐,建议明确指定设施) *.* /var/log/all.log # 仅接收local0设施的日志 local0.* /var/log/custom.log ``` 通过以上步骤,syslog服务端会将来自客户端的指定日志持久化存储到固定文件中。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值