Flume采集rsyslog发送的audit日志

最新推荐文章于 2024-07-25 14:24:00 发布
最新推荐文章于 2024-07-25 14:24:00 发布
阅读量2.5k 收藏 2
点赞数
分类专栏: elasticsearch 文章标签: flume elasticsearch kibana rsyslog
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012085379/article/details/50790340
版权
本文介绍了如何在客户端通过配置rsyslog收集Linux audit日志,并设置Flume将这些日志传输到Elasticsearch。在rsyslog配置文件中添加了审计日志采集规则,并将本地日志通过UDP发送到指定IP和端口。随后,展示了Flume的配置文件syslog-es.conf内容。最后,通过Kibana展示已成功接收并解析的审计日志。
摘要由CSDN通过智能技术生成

客户端splunk02上配置

[root@splunk02 ~]# vim /etc/rsyslog.conf

在13行添加

#### 采集linux audit日志 ###############

$ModLoadimfile

 $InputFileName/var/log/audit/audit.log

 $InputFileTagtag_audit_log:

 $InputFileStateFile audit_log

 $InputFileSeverity info

 $InputFileFacility local6

 $InputRunFileMonitor

 #########################################


在58行添加

local6.* @192.168.1.159:514


重启rsyslog服务

[root@splunk02 ~]# service rsyslog restart

Flume配置如 flume采集rsyslog日志中的syslog-es.conf文件。

在kibana中显示如下图


此时就可以收到linux audit日志了。

Lai.YM
关注
专栏目录
Flume采集rsyslog日志发送elasticsearch
u012085379的专栏
03-01 3864
centos 6.4通过flume采集rsyslog发送的linux secure日志,并发送到ES中,通过kibana来展现。
flume 通过syslog协议读取系统日志
需要远程指导仿真实验、代码有问题的,请后台私信或者关注公众号
07-06 1255
本实验任务主要完成基于ubuntu环境使用flume通过syslog协议读取日志信息。通过完成本实验任务,要求学生了解并掌握flume通过syslog协议去读日志信息的语法和使用的命令,为从事大数据平台运维工程师、大数据技术支持工程师等岗位工作奠定夯实的技能基础。熟悉Flume基本组件Source,Sink,Channel   理解Syslog Source,Syslog UDP Source和Multiport Syslog Source本次环境是:Ubuntu16.04+flume-ng-1.5.0-c
Flume 采集rsyslog整个配置和流程
一尘在心的博客
09-06 1800
使用flume采集web服务器日志,架构见图   每台webserver 的agent的配置:   #configuration 'flume74Agent' flume74Agent.sources=source74 flume74Agent.sinks=sink74-1 sink74-2 flume74Agent.channels=cha...
audit审计超详细介绍,常见审计规则示例,与syslog、secure对比
最新发布
ayychiguoguo的博客
07-25 1481
Audit(审计)在Linux系统中,特别是CentOS中,是一个用于监控和记录系统上各种操作的技术手段。Audit的主要功能是为系统管理员提供一个跟踪系统上与安全相关信息的方法。根据预配置的规则,Audit会生成日志条目,以尽可能多地记录系统上所发生的事件的相关信息。① Audit主要由以下几个部分组成:auditd:Audit守护进程负责把内核产生的信息写入到硬盘上,这些信息由应用程序和系统活动触发产生。
利用rsyslog 对Linux用户进行审计
weixin_33733810的博客
08-24 177
要审计用户执行的命令,在系统本地执行的话,比较简单。修改HISTTIMEFORMAT变量即可,比如:export HISTTIMEFORMAT="[%F %T $(who am i)] "但是简单的依赖.bash_history 或 script 是不可靠的,两者虽然记录了用户行为,但是可能被用户篡改和清除。rsyslog 是标准Linux系统的一部分,能够实时的写日志,并且还可以将日志选择性的发...
Flume采集HDFS audit log日志至HDFS
Deegue
05-19 1745
1、背景 HDFS的audit log产生数据量很大,速度也很快,在机器系统盘上必须立即持久化到HDFS,否则数据会被覆盖或者磁盘会打满。 用于数据治理-HDFS废弃文件、Hive废弃表检测与清理。 2、实现 ① Apache Flume官网下载最新版本的Flume。 ② 配置audit_log_hdfs.conf # 一个channel一个source 配置3个sink a1.sources = r1 a1.sinks = k1 k2 k3 a1.channels = c1 # 数据来源,给c1配置s
flume采集oracle日志,flume收集日志直接sink到oracle数据库
weixin_32497403的博客
04-05 529
因为项目需求,需要保存项目日志。项目的并发量不大,所以这里直接通过flume保存到oracle源码地址:https://github.com/jaxlove/fks/tree/master/src/main/java/com日志系统设置:url:以select、save、update、remove开头。通过filter记录请求功的url。格式为json格式,字段包括channel(来源渠道web...
flume采集mysql日志_日志采集工具Flume的安装与使用方法
weixin_31243809的博客
02-06 549
Flume是Cloudera提供的一个高可用的,高可靠的,分布式的海量日志采集、聚合和传输的系统,Flume支持在日志系统中定制各类数据发送方,用于收集数据;同时,Flume提供对数据进行简单处理,并写到各种数据接受方(可定制)的能力。Flume主要由3个重要的组件构成:Source:完成对日志数据的收集,分成transtion 和 event 打入到channel之中。Channel:主要提供一...
linux centos6.5之sudo配合rsyslog服务,进行日志审计
weixin_34088583的博客
10-23 456
什么是sudo日志审计: 所谓sudo命令日志审计,并不记录普通用户的操作,而是记录那些sudo命令的用户的操作。备注:linux远程日志rsyslog服务的作用是:1.防止系统崩溃无法获取系统日志分享崩溃原因,用rsyslog可以把日志传输到远程的日志服务器上2.使用rsyslog日志可以减轻系统压力,因为使用rsyslog可以有效减轻系统...
Flume日志采集工具)
weixin_42676014的博客
09-06 1373
Flume框架基础: * 理性认知: 1、Flume在集群中扮演的角色 Flume、Kafka用来实时进行数据收集,Spark、Storm用来实时处理数据,impala用来实时查询。 2、Flume框架简介 1.1 Flume提供一个分布式的,可靠的,对大数据量的日志进行高效收集、聚集、移动的服务,...
rsyslog采集audit日志
weixin_38637595的博客
08-09 1438
将A服务器中的/var/log/audit/audit.log采集到B服务器中的/data/logs/audit目录下 服务器B mkdir /data/logs/audit vim /etc/rsyslog.conf # 开启tcp端口 # Provides TCP syslog reception $ModLoad imtcp $InputTCPServerRun 514 # 写存放规则 #### RULES #### # Log all kernel messages to the consol
Syslog协议介绍
liu_hliang的博客
11-28 1777
在网上搜的文章,写的很全乎。摘抄如下,供大家参考学习 1、介绍     在Unix类操作系统上,syslog广泛应用于系统日志。syslog日志消息既可以记录在本地文件中,也可以通过网络发送到接收syslog的服务器。接收syslog的服务器可以对多个设备的syslog消息进行统一的存储,或者解析其中的内容做相应的处理。常见的应用场景是网络管理工具、安全管理系统、日志审计系统。     完...
Flume+syslog+kafka
泛音青年的博客
07-20 1491
一、概述 1、flume是什么 Flume提供一个分布式的,可靠的,对大数据量的日志进行高效收集、聚集、移动的服务,Flume只能在Linux环境下运行。 Flume基于流式架构,容错性强,也很灵活简单,架构简单。 Flume、Kafka用来实时进行数据收集,Spark、Storm用来实时处理数据,impala用来实时查询。 的 2、flume三层架构 1)flume架构图 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-aJyoUX5E-1595242184263)(ht
Flume的三种基本采集方式(三)
weixin_43204673的博客
07-26 1996
一、Syslog方式 Flume提供了Syslog的方式,通过TCP/UDP通信协议直接对某台主机上的某个端口进行监听,实现了采集端主动采集端口日志的功能,提高了可靠性。 Syslog可以通过Syslog协议读取系统日志,协议分为TCP和UDP两种,使用时需指定IP地址和端口。这里以监听本机的5140端口为例。 进入 Flume的conf目录,创建名称为 syslogtcp.conf的配置文件, 配置信息如下 # 组件命名 agent1.sources = r1 agent1.channels = c1
SODBASE CEP学习进阶篇(二)续:日志采集-Flume Syslog采集
happynyear的博客
05-29 1811
1. 启动CEP模型 启动CEP Server ./catalina.sh run 下载loganalysis.sod CEP模型文件。 使用Server Admin将loganalysis.soddata2安装到CEP Server,并启动,控制台输出 May 29, 2016 5:14:26 PM com.sodbase.cep.graphmodelexecutor.
splunk采集linux日志,splunk日志监控利器
weixin_28977143的博客
05-11 1113
日志处理引擎SPLUNKSplunk分为免费Free版和企业Enterprise版。SplunkFree专供个人使用。SplunkEnterprise添加了支持多用户和分布式部署的功能,并包括警报、基于角色的安全、单一登录、预设的PDF交付以及对无限数据量的支持。你可以使用浏览器访问http://zh-hans.splunk.com/download下载最新版的Splunk。如果你是第一次访问Sp...
linux syslog发送指定日志,linux – 将审计日志发送到SYSLOG服务器
weixin_39537680的博客
05-10 730
编辑:2014年11月17日这个答案可能仍然有效,但在2014年,using the Audisp plugin是更好的答案.如果您正在运行stock ksyslogd syslog服务器,我不知道如何执行此操作.但是有很好的指示可以在Wiki上使用rsyslog.(http://wiki.rsyslog.com/index.php/Centralizing_the_audit_log)我将总结一...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值