由于等保的要求,日志必须留存180天,关键是安全设备、服务器、IIS的流量日志、访问日志和攻击日志等,由于设施过于分散管理过于复杂,其中部分设备由于并未配置硬盘存储,本地留存能力有限。
需要架设一台统一的日志服务器,集中存储和备份各类关键设施的日志
一、搭建并测试和运行rsyslog
1、centos7上安装rsyslog
yum install rsyslog
2、关闭防火墙
systemctl stop firewalld
3、配置rsyslog配置文件/etc/rsyslog.conf,修改以下内容
取消注释:
$ModLoad imklog //内核日志功能
$ModLoad immark //日志标签功能
$ModLoad imudp //启用UDP接收syslog , 一般设备syslog都是走UDP
$UDPServerRun 514 //端口号514
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
$ActionFileEnableSync on
底部增加配置:
$template
IpTemplate,"/var/log/syslog/%FROMHOST-IP%/%$year%-%$month%-%$day%.log.log"
*.* ?IpTemplate
& ~
第一行是定义了一个日志接收存储模板,名称为IpTemplate(可任意),"/var/log/syslog/%FROMHOST-IP%/%$year%-%$month%-%$day%.log.log"是日志文件存储路径&#