Linux 系统日志
在 Linux 基线安全的规范中,要求将系统日志统一收集。防止被入侵或者宕机,导致日志被丢失,导致故障无法分析。
Linux 系统默认使用 rsyslog 管理系统日志,可以直接将日志同步到远程的 rsyslog 日志服务,即可统一收集。
![143955d64089540599ec2eda6a06a4cd.png](https://i-blog.csdnimg.cn/blog_migrate/bf6718a56610a9c01abb4f8395dbbf81.jpeg)
服务端
服务端需要开启一个服务端口,给客户端上传日志,可以用 udp 也可以用 tcp。
![40a691639c5ef0198c44624efb7d3e45.png](https://i-blog.csdnimg.cn/blog_migrate/37166650287b03eca2348946d72d10a7.jpeg)
安装
默认系统已经安装了 rsyslog 这个服务。如果发现没有安装可以直接使用 yum 进行安装。
yum -y install rsyslog
配置服务
vim /etc/rsyslog.conf
# 在配置文件里面直接去掉下面这两个注释即可。$ModLoad imudp$UDPServerRun 514
![c4364541b79795870c26de8913793436.png](https://i-blog.csdnimg.cn/blog_migrate/cfb2964fde4da33036cd2038d432a27c.jpeg)
重启服务
service rsyslog restart
防火墙记得开放 514 的 udp 端口。
客户端
同样也是需要安装 rsyslog 服务
配置
vim /etc/rsyslog.conf
# 修改一下日志里面的主机名,方便区分日志$LocalHostName 192.168.1.100# 可以收集所有日志* @192.168.1.10:514# 也可以只收集错误日志# *.err,*.alert,*.crit,*.emerg @192.168.1.10:514
重启服务
service rsyslog restart
测试
logger -p alert "设置rsyslog测试"