1. 自定义日志
以ssh服务为例。
(1)修改ssh服务日志级别
ssh服务的配置文件默认在/etc/ssh/sshd_config, 搜索SyslogFacility , 查出下默认情况ssh日志级别为认证级别,此处将其修改为local0
(2)修改系统日志配置
修改文件/etc/rsyslog.conf
将ssh服务的日志写到/var/log/sshd.log中, 添加如下一行:
local0.* /var/log/sshd.log
(3)重启服务
重启rsyslog服务:
service rsyslog restart
重启ssh服务:
service sshd restart
(4)测试
测试ssh的日日志是否真的写入文件/etc/log/sshd.log中。
清空/var/log/sshd.log:
echo > /var/log/sshd.log
使用另一台机器ssh此服务器,查看/var/log/sshd.log中是否写入信息。
2. 防止日志被删除
此过程中使用的是chattr的方式,可以防止误删,但是不能防黑客删除。
设置日志只可追加不可删除:
chattr +a /var/log/messges
查看上面特权设置情况:
lsattr /var/log/messgaes
3. 日志回滚
日志回滚即新建新的日志文件,后续日志往新的日志文件里面写。
日志回滚的配置文件是/etc/lorotate.conf :
weekly #四周回滚一次
rotate 4 #保留4个旧的日志文件
create 日志回滚后新建一个新的空文件存储数据。
特殊的日志可以在后面单独配置。
4. 远程日志服务器
此处假设远程日志服务器: 192.168.80.63
需要发送日志的服务器:192.168.80.62
日志的传送可以采用tcp和udp两种方式,鉴于日志信息的重要性,此处使用传输更加可靠地tcp传输。
192.168.80.63上:
修改文件/etc/rsyslog.conf:
取消如下两行信息的注释:
$ModLoadimtcp.so
$InputTCPServerRun 514
重启系统日志服务:
service rsyslog restart
检查514端口是否开启:
netstat -anupt | grep 514
在192.168.80.62上:
vim /etc/rsyslog.conf修改:
在最后添加如下一行:
*.* @@192.168.80.63:514
即所有类别的所有级别日志全部写入192.168.80.63服务器上,如用的为udp传输则为*.* @192.168.80.63:514
中期rsyslog服务:
service rsyslog restart
远程日志服务配置完成。
现在正在做系列视频课程,课程中会提供视频中涉及的操作文档、软件包,系列课程内容更加完整、贴近实际工作。欢迎感兴趣的小伙伴到[网易云课堂](https://study.163.com/course/introduction/1005734052.htm)进行学习。