日志审计与分析实验三(rsyslog服务器端和客户端配置)(Linux日志收集)

已于 2022-04-10 18:27:53 修改
阅读量9k 收藏 23
点赞数 7
分类专栏: 日志审计与分析 笔记 文章标签: 安全 linux
于 2022-04-10 18:17:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51250102/article/details/124063952
版权

文章目录

Linux日志收集

一、实验目的:

1、掌握rsyslog配置方法
2、配置rsyslog服务收集其他Linux服务器日志:

C/S架构:客户端将其日志上传到服务器端,通过对服务器端日志的查询,来实现对其他客户端的日志进行集中管理;下面实现就是通过两套机器来实现,(server:198.168.220.134)——(client:198.168.220.137),将client上的日志传输到server上。

二、实验步骤:

配置前提:所有Linux均默认安装rsyslog服务。

1、前期配置

克隆一台虚拟机
一台当作rsyslog服务器,一台当作rsyslog客户端。本次实验中,我的rsyslog服务器名称是(CentOS7 64位),rsyslog客户端名称是(CentOS7 2)。
在这里插入图片描述
查看服务器端和客户端ip地址,确保在同一个网段。
本次实验中,服务器端ip地址:192.168.220.134
客户端ip地址为:192.168.220.137

ifconfig

在这里插入图片描述
在这里插入图片描述
将rsyslog服务器端和客户端清除防火墙规则和临时禁用selinux

iptables -F

setenforce 0

服务器端:
在这里插入图片描述
客户端:
在这里插入图片描述
测试rsyslog服务器端和客户端是否能够ping通
在这里插入图片描述
查看rsyslog服务状态

service rsyslog status

在这里插入图片描述

2. rsyslog的三种传输协议

(1) UDP 传输协议

基于传统UDP协议进行远程日志传输,也是传统syslog使用的传输协议;
可靠性比较低,但性能损耗最少, 在网络情况比较差,或者接收服务器压力比较高情况下,可能存在丢日志情况。在对日志完整性要求不是很高,在可靠的局域网环境下可以使用。
(2)TCP 传输协议

基于传统TCP协议明文传输,需要回传进行确认,可靠性比较高;
但在接收服务器宕机或者两者之间网络出问题的情况下,会出现丢日志情况。
这种协议相比于UDP在可靠性方面已经好很多,并且rsyslog原生支持,配置简单,同时针对可能丢日志情况,可以进行额外配置提高可靠性,因此使用比较广。
(3)RELP 传输协议

RELP(Reliable Event Logging Protocol)是基于TCP封装的可靠日志消息传输协议;是为了解决TCP 与 UDP 协议的缺点而在应用层实现的传输协议,也是三者之中最可靠的。需要多安装一个包rsyslog-relp以支持该协议。

1、udp传输方式

配置rsyslog服务器端

编辑配置文件

vim /etc/rsyslog.conf

在这里插入图片描述

开启传输端口监听

vim /etc/sysconfig/rsyslog

在这里插入图片描述
重启rsyslog服务

systemctl restart rsyslog

查看服务器运行的端口

netstat -anpu | grep 514

在这里插入图片描述
配置rsyslog客户端

指定日志传输方式

vim /etc/rsyslog.conf

如果是udp,则添加

*.*  @192.168.220.134:514

在这里插入图片描述
重启rsyslog服务

systemctl restart rsyslog

在这里插入图片描述
服务器端实时查看日志记录

tail -f /var/log/messages

客户端进行测试

logger -t kern -p err "hello world"

在这里插入图片描述

2、tcp传输方式

配置rsyslog服务器端

编辑配置文件

vim /etc/rsyslog.conf

恢复对udp的注释,去掉对tcp的注释
在这里插入图片描述
开启传输端口监听

vim /etc/sysconfig/rsyslog

在这里插入图片描述
重启服务

systemctl restart rsyslog

查看服务器运行的端口

netstat -anpt | grep 514

在这里插入图片描述

配置rsyslog客户端

指定日志传输方式

vim /etc/rsyslog.conf

如果是tcp,则将udp的注释掉并添加

*.*  @@192.168.220.134:514

在这里插入图片描述
重启rsyslog服务

systemctl restart rsyslog

服务器端实时查看日志记录

tail -f /var/log/messages

客户端进行测试

logger -t kern -p err "hello hello"

在这里插入图片描述

3、relp传输方式

配置rsyslog服务器端

安装relp服务

yum install rsyslog-relp

在这里插入图片描述
在这里插入图片描述
编辑配置文件

vim /etc/rsyslog.conf

恢复对udp,tcp的注释,添加以下两行:

$ModLoad imrelp
$InputRELPServerRun 2514

在这里插入图片描述
开启传输端口监听

vim /etc/sysconfig/rsyslog

在这里插入图片描述
重启服务

systemctl restart rsyslog

查看服务器运行的端口

netstat -anpt | grep ":2514"

在这里插入图片描述
配置rsyslog客户端

在客户端安装relp服务

yum install rsyslog-relp

在这里插入图片描述
指定日志传输方式

vim /etc/rsyslog.conf

如果是relp,则将udp,tcp的注释掉并添加

$ModLoad omrelp
*.* :omrelp:192.168.220.134:2514

在这里插入图片描述
重启rsyslog服务

systemctl restart rsyslog

服务器端实时查看日志记录

tail -f /var/log/messages

客户端进行测试

logger -t kern -p err "hello kitty"

在这里插入图片描述

椰椰椰果
关注
  • 7
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
专栏目录
rsyslog日志文件 ,当rsyslog 中断时,也会丢数据
zhaoyangjian724的专栏
08-19 1301
rsyslog 日志服务器; [root@dr-mysql01 winfae_log]# grep scan0819 wj-proxy01-catalina.out.2016-08-19 [root@dr-mysql01 winfae_log]# 源端服务器: [tomcat@Proxy01 logs]$ grep scan0819 catalina.out [tomcat@Proxy0
rsyslog日志转发配置(服务端和客户端
12-06
linux rsyslog日志转发配置(服务端和客户端),配置日志转发服务,把系统日志转发到其他linux系统
RSYSLOG系列】rsyslog远程服务器搭建
weixin_54954007的博客
11-11 2352
搭建接收日志rsyslog服务器
Linux日志服务rsyslog深度解析(下)
最新发布
博客虽小,世界尽在其中
06-08 1201
本文深入探讨了Linux系统中重要的日志服务工具rsyslog的应用与配置。首先,我们简要介绍了rsyslogLinux日志管理中的重要地位,以及它如何帮助系统管理员有效地收集、过滤和存储日志信息。接着,文章详细阐述了rsyslog的基本配置方法,包括如何设置日志消息的接收、过滤和转发规则,以满足不同应用场景的需求。 随后,我们深入讲解了rsyslog的远程存储功能,包括如何将日志消息存储到数据库(如MySQL)和消息队列(如Kafka)等远程服务中。在这部分,我们介绍了如何安装必要的驱动模块、配置rsy
搭建日志服务器 rsyslog
陆家嘴伏地魔
03-30 1142
rsyslog是比syslog功能更强大的日志记录系统,可以将日志输出到文件,数据库和其它程序。
Centos的rsyslog日志系统(四):rsyslog服务搭建
weixin_38924500的博客
03-08 1424
Centos的rsyslog日志系统(四):rsyslog服务搭建1.日志服务器的应用场景1.1目的1.2平台及工具版本2.操作步骤2.1日志客户端配置2.2 日志服务器配置2.3 配置防火墙2.4测试 1.日志服务器的应用场景 1.1目的 为了方便日志监控和防止日志被篡改,我们可以使用rsyslog搭建日志服务器用于存放其他服务器的日志。 对于入侵排查工作来说,操作系统的认证日志、计划任务日志和历史命令都是非常重要的。我们把各个系统的相应日志保存到专门的rsyslog日志服务器,保存日志的路径格式为:源I
logrotate配置文件
weixin_30516243的博客
07-10 285
以nginx为例 /var/log/nginx/*log { create 0644 nginx nginx daily rotate 10 missingok notifempty compress sharedscripts postrotate /bin/kill -USR1 `cat /...
CentOS 7利用Rsyslog+LogAnalyzer配置日志服务器及Linux和windows客户端配置
04-28
CentOS 7利用Rsyslog+LogAnalyzer配置日志服务器及Linux和windows客户端配置
rsyslog系列】rsyslog远程接收日志服务器配置文件之TLS双向认证
11-17
搭建rsyslog远程接收日志服务器时,要想要服务器生效,必须按照实际使用场景配置rsyslog配置文件,该配置文件资源应用于rsyslog v8版本的TLS协议双向认证场景。由于rsyslog v8版本对于v5版本有一些格式上的更新,...
rsyslog所有用户日志审计
12-22
rsyslog所有用户日志审计是指通过rsyslog收集和记录所有用户的日志信息,包括普通用户和root用户。这种日志审计可以帮助管理员追踪用户的操作记录,检测潜在的安全威胁和问题。 rsyslog简介 rsyslog是一个开源的...
rsyslog系列】rsyslog远程接收日志服务器配置文件之TLS单向认证
11-17
搭建rsyslog远程接收日志服务器时,要想要服务器生效,必须按照实际使用场景配置rsyslog配置文件,该配置文件资源应用于rsyslog v8版本的TLS协议单向认证场景。由于rsyslog v8版本对于v5版本有一些格式上的更新,...
日志审计功能配置
Jie_Chang的博客
10-06 3323
日志审计
linuxrsyslog 服务
derrict的博客
12-28 3978
rsyslog 服务 2018年8月16日 22:46 1、服务器端配置    (TCP、UDP、RELP传输方式)      UDP 传输协议 基于传统UDP协议进行远程日志传输,也是传统syslog使用的传输协议;   可靠性比较低,但性能损耗最少   在网络情况比较差,或者接收服务器压力比较高情况下,可能存在丢日志情况。      TCP 传输协议 基于传统T...
Centos 7.x rsyslog服务器端客户端配置进行日志转发与接收
爱璇子爱生活
10-12 3092
注意1:不管服务端还是客户端,首先确保已经装了rsyslog服务并且守护进程开启了。 systemctl status rsyslog.service #检查进程是否开启 #如果没有装该服务,装一下 yum install rsyslog 注意:2:不管是服务端还是客户端,在编辑完rsyslog.conf后一定要重启rsyslog服务,才能生效。 服务端 进入root用户,编辑/etc...
logrotate 日志清理后 rsyslog中断问题
weixin_30703911的博客
08-12 453
<pre name="code" class="html">随后配置logrotate的配置文件/etc/logrotate.conf,加入下面的内容: /var/log/ipwall/messages.log { #日志路径一定要和rsyslog定义的日志文件路径一致 rotate 65535 #滚动65535次 c...
日志管理-rsyslogd服务(/etc/rsyslog.conf 配置文件)
董坤的博客
08-15 1万+
1. 日志文件的格式 基本日志格式包含以下四列: 事件产生的时间 发生事件的服务器的主机名 产生事件的服务名或程序名 事件的具体信息 2. /etc/rsyslog.conf配置文件 authpriv.* /var/log/secure #服务名称[连接符号]日志等级 日志记录位置记录在 #认证相关服务.所有日志等级 服务名称 ...
Linux搭建syslog日志服务器
热门推荐
小达达
11-10 1万+
Linux搭建syslog日志服务器 1、syslog服务端搭建 修改/etc/rsyslog.conf文件,本次采集目标为UDP修改下面的配置 输入Linux命令:sudo vim /etc/rsyslog.conf # Provides UDP syslog reception $ModLoad imudp $UDPServerRun 514 找到以上两个模块,去掉前面注释, :wq 保存退出。 额外配置:在配置文件开头定义内容输出格式作为模板myFormat $temp.
Go 学习笔记(54)— Go 第三方库之 uber-go/zap/lumberjack(记录日志到文件、支持自动分割日志、支持日志级别、打印调用文件、函数和行号)
wohu1104的专栏
07-13 1万+
1. 简要说明 zap 是 uber 开源的 Go 高性能日志库,支持不同的日志级别, 能够打印基本信息等,但不支持日志的分割,这里我们可以使用 lumberjack 也是 zap 官方推荐用于日志分割,结合这两个库我们就可以实现以下功能的日志机制: 能够将事件记录到文件中,而不是应用程序控制台; 日志切割能够根据文件大小、时间或间隔等来切割日志文件; 支持不同的日志级别,例如 DEBUG , INFO , WARN , ERROR 等; 能够打印基本信息,如调用文件、函数名和行号,日志时间等;
虚拟机安装日志服务器,使用Rsyslog进行VMware vSphere和vCenter重要日志管理
05-25
在虚拟机上安装日志服务器并使用Rsyslog进行VMware vSphere和vCenter重要日志管理的步骤如下: 1. 安装Rsyslog 在虚拟机上使用以下命令安装Rsyslog: ``` sudo apt-get update sudo apt-get install rsyslog ``` 2. 配置Rsyslog 打开Rsyslog配置文件`/etc/rsyslog.conf`,并添加以下内容: ``` # VMware vSphere和vCenter重要日志 if $programname == 'vmkernel' then /var/log/vmkernel.log if $programname == 'vmkwarning' then /var/log/vmkwarning.log if $programname == 'vmksummary' then /var/log/vmksummary.log if $programname == 'vpxa' then /var/log/vpx/vpxa.log if $programname == 'vpxd' then /var/log/vpx/vpxd.log if $programname == 'hostd' then /var/log/vmware/hostd.log if $programname == 'vpxa-probe' then /var/log/vpx/vpxa-probe.log if $programname == 'vws' then /var/log/vmware/vws.log if $programname == 'fdm' then /var/log/fdm.log if $programname == 'vmsyslogd' then /var/log/vmware/vmsyslogd.log ``` 这些配置将确保Rsyslog收集和记录VMware vSphere和vCenter的重要日志。 3. 重新启动Rsyslog 使用以下命令重新启动Rsyslog服务: ``` sudo service rsyslog restart ``` 4. 配置VMware vSphere和vCenter 要将VMware vSphere和vCenter发送到Rsyslog服务器,请进行以下操作: - 在vSphere Web客户端中,选择您的vCenter服务器,并选择“管理”>“设置”>“高级设置”。 - 找到“Syslog.global.loghost”设置,并输入Rsyslog服务器的IP地址和端口号,例如`tcp://192.168.1.100:514`。 - 单击“确定”保存更改。 现在,VMware vSphere和vCenter的重要日志将被发送到Rsyslog服务器并记录在指定的文件中。您可以使用工具如Logwatch等来监视这些日志并接收警报。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值