Flume采集rsyslog发送的audit日志

最新推荐文章于 2023-08-05 11:53:34 发布
最新推荐文章于 2023-08-05 11:53:34 发布
阅读量2.5k 收藏 2
点赞数
分类专栏: elasticsearch 文章标签: flume elasticsearch kibana rsyslog
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012085379/article/details/50790340
版权
本文介绍了如何在客户端通过配置rsyslog收集Linux audit日志,并设置Flume将这些日志传输到Elasticsearch。在rsyslog配置文件中添加了审计日志采集规则,并将本地日志通过UDP发送到指定IP和端口。随后,展示了Flume的配置文件syslog-es.conf内容。最后,通过Kibana展示已成功接收并解析的审计日志。
摘要由CSDN通过智能技术生成

客户端splunk02上配置

[root@splunk02 ~]# vim /etc/rsyslog.conf

在13行添加

#### 采集linux audit日志 ###############

$ModLoadimfile

 $InputFileName/var/log/audit/audit.log

 $InputFileTagtag_audit_log:

 $InputFileStateFile audit_log

 $InputFileSeverity info

 $InputFileFacility local6

 $InputRunFileMonitor

 #########################################


在58行添加

local6.* @192.168.1.159:514


重启rsyslog服务

[root@splunk02 ~]# service rsyslog restart

Flume配置如 flume采集rsyslog日志中的syslog-es.conf文件。

在kibana中显示如下图


此时就可以收到linux audit日志了。

最低0.47元/天 解锁文章
Lai.YM
关注
专栏目录
Flume采集rsyslog日志发送elasticsearch
u012085379的专栏
03-01 3883
centos 6.4通过flume采集rsyslog发送的linux secure日志,并发送到ES中,通过kibana来展现。
flume 通过syslog协议读取系统日志
需要远程指导仿真实验、代码有问题的,请后台私信或者关注公众号
07-06 1283
本实验任务主要完成基于ubuntu环境使用flume通过syslog协议读取日志信息。通过完成本实验任务,要求学生了解并掌握flume通过syslog协议去读日志信息的语法和使用的命令,为从事大数据平台运维工程师、大数据技术支持工程师等岗位工作奠定夯实的技能基础。熟悉Flume基本组件Source,Sink,Channel   理解Syslog Source,Syslog UDP Source和Multiport Syslog Source本次环境是:Ubuntu16.04+flume-ng-1.5.0-c
Flume 采集rsyslog整个配置和流程
一尘在心的博客
09-06 1819
使用flume采集web服务器日志,架构见图   每台webserver 的agent的配置:   #configuration 'flume74Agent' flume74Agent.sources=source74 flume74Agent.sinks=sink74-1 sink74-2 flume74Agent.channels=cha...
利用rsyslog 对Linux用户进行审计
weixin_33733810的博客
08-24 192
要审计用户执行的命令,在系统本地执行的话,比较简单。修改HISTTIMEFORMAT变量即可,比如:export HISTTIMEFORMAT="[%F %T $(who am i)] "但是简单的依赖.bash_history 或 script 是不可靠的,两者虽然记录了用户行为,但是可能被用户篡改和清除。rsyslog 是标准Linux系统的一部分,能够实时的写日志,并且还可以将日志选择性的发...
Flume采集HDFS audit log日志至HDFS
Deegue
05-19 1774
1、背景 HDFS的audit log产生数据量很大,速度也很快,在机器系统盘上必须立即持久化到HDFS,否则数据会被覆盖或者磁盘会打满。 用于数据治理-HDFS废弃文件、Hive废弃表检测与清理。 2、实现 ① Apache Flume官网下载最新版本的Flume。 ② 配置audit_log_hdfs.conf # 一个channel一个source 配置3个sink a1.sources = r1 a1.sinks = k1 k2 k3 a1.channels = c1 # 数据来源,给c1配置s
flume采集oracle日志,flume收集日志直接sink到oracle数据库
weixin_32497403的博客
04-05 552
因为项目需求,需要保存项目日志。项目的并发量不大,所以这里直接通过flume保存到oracle源码地址:https://github.com/jaxlove/fks/tree/master/src/main/java/com日志系统设置:url:以select、save、update、remove开头。通过filter记录请求功的url。格式为json格式,字段包括channel(来源渠道web...
flume采集mysql日志_日志采集工具Flume的安装与使用方法
weixin_31243809的博客
02-06 558
Flume是Cloudera提供的一个高可用的,高可靠的,分布式的海量日志采集、聚合和传输的系统,Flume支持在日志系统中定制各类数据发送方,用于收集数据;同时,Flume提供对数据进行简单处理,并写到各种数据接受方(可定制)的能力。Flume主要由3个重要的组件构成:Source:完成对日志数据的收集,分成transtion 和 event 打入到channel之中。Channel:主要提供一...
linux centos6.5之sudo配合rsyslog服务,进行日志审计
weixin_34088583的博客
10-23 465
什么是sudo日志审计: 所谓sudo命令日志审计,并不记录普通用户的操作,而是记录那些sudo命令的用户的操作。备注:linux远程日志rsyslog服务的作用是:1.防止系统崩溃无法获取系统日志分享崩溃原因,用rsyslog可以把日志传输到远程的日志服务器上2.使用rsyslog日志可以减轻系统压力,因为使用rsyslog可以有效减轻系统...
关于rsyslog转发auditd日志配置过程及问题排查
最新发布
喜欢悠闲的博客
08-05 1872
于是再次查找了日志信息 中(audispd: No plugins found, exiting),询问gpt后,了解到audispd一个非常重要的组件,audispd是一个用于处理和转发audit事件的守护程序。在反复修改rsyslog.conf配置文件时,发现每次使用命令systemctl stop audit停止服务,服务端可以收到来自客户端的audit日志,但是用命令systemctl start audit开启服务后,则服务端停止接收audit日志。MODULES:定义消息来源的模块。
Flume日志采集工具)
weixin_42676014的博客
09-06 1388
Flume框架基础: * 理性认知: 1、Flume在集群中扮演的角色 Flume、Kafka用来实时进行数据收集,Spark、Storm用来实时处理数据,impala用来实时查询。 2、Flume框架简介 1.1 Flume提供一个分布式的,可靠的,对大数据量的日志进行高效收集、聚集、移动的服务,...
rsyslog采集audit日志
weixin_38637595的博客
08-09 1496
将A服务器中的/var/log/audit/audit.log采集到B服务器中的/data/logs/audit目录下 服务器B mkdir /data/logs/audit vim /etc/rsyslog.conf # 开启tcp端口 # Provides TCP syslog reception $ModLoad imtcp $InputTCPServerRun 514 # 写存放规则 #### RULES #### # Log all kernel messages to the consol
Syslog协议介绍
liu_hliang的博客
11-28 1803
在网上搜的文章,写的很全乎。摘抄如下,供大家参考学习 1、介绍     在Unix类操作系统上,syslog广泛应用于系统日志。syslog日志消息既可以记录在本地文件中,也可以通过网络发送到接收syslog的服务器。接收syslog的服务器可以对多个设备的syslog消息进行统一的存储,或者解析其中的内容做相应的处理。常见的应用场景是网络管理工具、安全管理系统、日志审计系统。     完...
Flume+syslog+kafka
泛音青年的博客
07-20 1505
一、概述 1、flume是什么 Flume提供一个分布式的,可靠的,对大数据量的日志进行高效收集、聚集、移动的服务,Flume只能在Linux环境下运行。 Flume基于流式架构,容错性强,也很灵活简单,架构简单。 Flume、Kafka用来实时进行数据收集,Spark、Storm用来实时处理数据,impala用来实时查询。 的 2、flume三层架构 1)flume架构图 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-aJyoUX5E-1595242184263)(ht
Flume的三种基本采集方式(三)
weixin_43204673的博客
07-26 2027
一、Syslog方式 Flume提供了Syslog的方式,通过TCP/UDP通信协议直接对某台主机上的某个端口进行监听,实现了采集端主动采集端口日志的功能,提高了可靠性。 Syslog可以通过Syslog协议读取系统日志,协议分为TCP和UDP两种,使用时需指定IP地址和端口。这里以监听本机的5140端口为例。 进入 Flume的conf目录,创建名称为 syslogtcp.conf的配置文件, 配置信息如下 # 组件命名 agent1.sources = r1 agent1.channels = c1
linux 系统审计audit详解
weixin_34061042的博客
04-09 2320
2.6 Linux内核有用日志记录事件的能力,比如记录系统调用和文件访问。然后,管理员可以评审这些日志,确定可能存在的安全裂口,比如失败的登录尝试,或者 用户对系统文件不成功的访问。这种功能称为Linux审计系统,在Red Hat Enterprise Linux 5中已经可用。  要使用Linux Auditing System,可采用下面的步骤:  (1) 配置审计守护进...
SODBASE CEP学习进阶篇(二)续:日志采集-Flume Syslog采集
happynyear的博客
05-29 1826
1. 启动CEP模型 启动CEP Server ./catalina.sh run 下载loganalysis.sod CEP模型文件。 使用Server Admin将loganalysis.soddata2安装到CEP Server,并启动,控制台输出 May 29, 2016 5:14:26 PM com.sodbase.cep.graphmodelexecutor.
splunk采集linux日志,splunk日志监控利器
weixin_28977143的博客
05-11 1134
日志处理引擎SPLUNKSplunk分为免费Free版和企业Enterprise版。SplunkFree专供个人使用。SplunkEnterprise添加了支持多用户和分布式部署的功能,并包括警报、基于角色的安全、单一登录、预设的PDF交付以及对无限数据量的支持。你可以使用浏览器访问http://zh-hans.splunk.com/download下载最新版的Splunk。如果你是第一次访问Sp...
linux syslog发送指定日志,linux – 将审计日志发送到SYSLOG服务器
weixin_39537680的博客
05-10 753
编辑:2014年11月17日这个答案可能仍然有效,但在2014年,using the Audisp plugin是更好的答案.如果您正在运行stock ksyslogd syslog服务器,我不知道如何执行此操作.但是有很好的指示可以在Wiki上使用rsyslog.(http://wiki.rsyslog.com/index.php/Centralizing_the_audit_log)我将总结一...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值