Linux下配置日志服务器

最新推荐文章于 2024-02-26 23:09:19 发布
最新推荐文章于 2024-02-26 23:09:19 发布
阅读量1.2w 收藏 58
点赞数 3
分类专栏: Linux环境配置 文章标签: Linux环境配置 日志服务
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wwl012345/article/details/90408772
版权

一、日志服务器简介

       日志对于一个系统有着举足轻重的作用。日志可以审计和监测服务器的系统状态,对于监测和追踪入侵者是十分重要的。一旦服务器有什么异常,系统管理员第一时间肯定想到的是查看日志服务。

       对于黑客来说,当入侵了一个服务器后,在进行了一系列的操作之后,最后一步就是要清理掉日志服务器的日志记录。但是,有一些企业为了更安全,也为了便于管理,通常在公司内部架设一台日志服务器,然后将多个服务器的日志信息实时的传送到日志服务器上。因此,当黑客入侵了公司的一台服务器,最后也清除了改服务器上的系统日志,但是,黑客入侵的信息已经被实时的传送到了日志服务器上。攻击者要想不被系统管理员发现,必须入侵到日志服务器,删除到自己的入侵记录,这样便给攻击者增加了难度。更有甚者,为了安全起见,系统管理员会把日志服务器与打印机相连,实时的将日志内容打印出来。当然了,这样会造成大量浪费。但是,如果这样,即使攻击者删除了日志服务器上的入侵记录也没有有了,因为攻击者的入侵记录已经被打印出来。除非攻击者可以飞檐走壁,潜入公司内部,拿走相应的日志记录文件。哈哈,这显然是不可能的。好了,言归正传,接下来我们使用两台Linux主机来配置Linux日志服务器。

      传输日志共有三种方法:

1.UDP传输协议:基于传统的UDP协议进行远程日志的传输,这也是传统的传输方式。正如UDP协议的传输特点,尽最大可能交付,可靠性较差,但是网络带宽消耗最少(因为不需要建立连接等等),在网络情况较差的情况下可能丢失日志信息。

2.TCP传输协议:基于传统的TCP协议进行传输,需要进行消息的确认,可靠性较高。但是如果服务器宕机或者网络出现故障的情况下也还是会丢失日志信息。

3.RELP传输协议:RELP(Reliable Event Logging Protocol)是基于TCP封装的可靠日志传输协议,RELP在传输过程中不会丢失日志信息,但是必须在rsyslogd版本为3.15.0以上才能使用。(注:使用rsyslogd  -version来查看rsyslogd版本信息

二、实验环境

        两台Linux主机,一台作为Linux客户机,另一台作为Linux日志服务器。两台主机处于同一网段,必须可以ping通。在本次实验中,Linux日志服务器的IP地址是192.168.100.1,Linux客户机的IP地址是192.168.100.2。

查看Linux日志服务器的IP地址

查看Linux日志客户机的IP地址

三、实验步骤

1.RELP传输协议(因为默认并没有安装RELP库,所以必须先安装RELP库)

Linux日志服务器端:

(1):配置本地yum源并安装rsyslog-relp

修改配置文件,文件内容如下

保存退出,然后挂载光盘镜像

我这显示已经挂载过光盘了。然后安装

若出现如下内容则安装成功

(2):配置Linux日志服务器(配置文件在/etc/rsyslog.conf)

修改配置文件内容如下(在后面添加两行红色方框内的内容)

 这两行表示使用relp模式传输,传输端口为2514

(3):开启传输端口监听

修改内容如下: 

-r指定监听端口,-c2表明是兼容模式

(4):重启日志服务

(5):关闭防火墙

Linux客户机端:

(1):修改日志文件

 修改内容如下

(2):重启日志服务

(3):关闭防火墙

测试:

(1):在服务器端查看log下的messages

(2):在客户机输入测试语句

(3):在服务器上可以看见客户机上的日志信息(客户机的日志信息传输到了服务器上)

2.TCP传输协议

Linux日志服务器端

(1):修改服务器的配置文件

修改内容如下(去掉TCP前面两行注释,并且将之前RELP传输协议的内容注释起来)

(2):设置监听端口

修改内容如下(此时端口为514)

(3)重启日志服务

 (4):关闭防火墙

Linux客户机端

(1):修改日志配置文件

修改内容如下(在配置文件中添加下图中内容,并且将之前RELP的内容注释掉)

(2):重启日志服务

(3):关闭防火墙

测试

(1):在服务器端查看log下的messages

(2):在客户机输入测试语句

 

(3):在服务器上可以看见客户机上的日志信息(客户机的日志信息传输到了服务器上)

3.UDP传输协议

Linux日志服务器端

(1): 修改服务器的配置文件

修改内容如下(去掉UDP前面两行注释,并且将之前TCP的内容注释掉)

(2):设置监听端口

修改内容如下

(3):重启服务

(4):关闭防火墙

Linux客户端

(1):修改日志配置文件

(2):修改内容如下(将之前的内容注释掉)

(3):重启服务

(4):关闭防火墙

测试

(1):在服务器端查看log下的messages

(2):在客户机输入测试语句

(3):在服务器上可以看见客户机上的日志信息(客户机的日志信息传输到了服务器上)

这样,三种传输方式配置日志的就完成了。建议最好使用RELP传输方式。

想走安全的小白
关注
  • 3
    点赞
  • 58
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux配置日志服务器的图文教程
01-10
前言 本文主要介绍的是关于Linux配置日志服务器的相关内容,分享出来供大家参考学习,下面话不多说了,来一起看看详细的介绍吧 日志服务器配置文件:/etc/rsyslog.conf 服务器端: 服务器IP如下: 编辑日志服务器配置文件: 这里UDP或者TCP任选一个 将注释的两句复制一遍,然后取消注释即可 进入目录下创建配置文件,配置需要监控的客户端 Vim编辑器打开 内容如下: 内容格式如下: :属性, 比较操作符, “值” 保存位置 属性包括以下内容 fromhost 哪个主机名发过来的 fromhost-ip 哪个ip发过来的 msg 从日志信息里的内
[转]Linux日志管理详解
heiyeluren的blog(黑夜路人的开源世界)
12-16 2017
Linux日志管理详解from: http://kunming.cyberpolice.cn/aqjs/20001.html          日志对于安全来说,非常重要,他记录了系统每天发生的各种各样的事情,你可以通过他来检查错误发生的原因,或者受到攻击时攻击者留下的痕迹。日志主要的功能有:审计和监测。他还可以实时的监测系统状态,监测和
【网安合规】Rsyslog 开源日志服务器 - 快速收集企业网络日志,合规利器!
最新发布
WeiyiGeek 唯一极客IT知识分享
02-26 780
01.缘由描述: 由于《信息安全技术网络安全等级保护基本要求[]》以及《中华人民共和国网络安全法》、《公安部82号令》安全日志审计的要求,网络运营者和网络服务提供者必须能够对上网行为日志做留存,时间不得小于180天,否则相关责任人将被处于行政罚款。《信息安全技术网络安全等级保护基本要求》,网络安全审计日志需集中收集存储,即:应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求。
Linux系统日志查询
weixin_51299140的博客
03-18 2828
时间标签:消息发出的日期时间 主机名 生产消息的计算机的名称 子系统名称:发出消息的应用程序的名称 消息 消息级别的具体内容。公共日志文件/var/log/message:记录系统的绝大多数重要信息,出现问题主要检查这个文件。Tall -f /var/log/messages 循环读取messages日志。Secure:记录验证和授权相关信息,主要与用户账户与授权相关。tail命令是实时显示日志文件的最常用解决方案。Boot.log:与系统启动相关的信息的仓库。Less cron 查看cron日志
深入理解Linux文件系统与日志分析(图文并茂,附带实验教程 详细的一批)
Chenwei的博文
12-03 593
深入理解Linux文件系统与日志分析 目录一、inode和block(一)、概述1、block(块)2、inode(节点号)3、Linux系统文件三个主要的时间属性4、目录文件的结构二、链接文件三、inode节点耗尽故障处理四、EXT 类型文件恢复五、xfs 类型文件备份和恢复六、日志分析一、日志的功能二、日志文件的分类1、内核及系统日志2、用户日志3、程序日志4、日志保存位置5、主要日志文件介绍三、内核及系统日志1、由系统服务 rsyslog 统一管理2、日志消息的级别3、日志记录的一般格式4、用户日志
Linux日志分析与安全
CC210231的博客
04-25 3169
Linux日志分析与安全
linux下查看日志命令【Linux
weixin_44625361的博客
08-06 1万+
作为一个开发人员,在服务器上查看日志是必备的技能。运行在服务器上的程序会实时产生大量的日志,精准的找到自己需要查看部分,查看命令日志这么多,需要用什么效率比较高呢,来实践一下。例如:tail -n 100 filename 将显示文件filename的最后100行内容。# 配合G?/ n N 使用 less filename # 配合grep 参数 tail -f filename | grep -C 50 'content' > newlog.txt。
总结Linux 中实时查看日志的3种方法
采菊东篱下,Python满乾坤!
06-25 2万+
我们大家应该都知道如何在 Linux 中查看文件,比如可以使用 cat 或者 less 命令。这对于查看静态文件来说是可以的;日志文件是动态的,其内容随时会变化,要监测日志文件,需要在日志文件内容改变时也能实时看到。
Linux配置一个 syslog 服务器
Free雅轩的博客
04-19 2193
在此对该模板进行简单解释,$template RemoteLogs(这里“RemoteLogs” 字符串可以为任何其他的描述性的名称)指令使rsyslog后台进程将日志消息写到/var/log下的单独的本地日志文件中,其中日志文件的名称是基于远程日志发送机器的主机名以及生成该日志的应用程序名进行定义的。如果我们想要将所有从远程客户端接受到的消息写入到一个以它们的IP地址命名的单个文件中,可以使用以下的模板。如果你想要的话,也可以使用下面的模式对特定的设备或严重性级别使用新的模板直接来记录日志消息。
嵌入式 Linux进程间通信(四)——Linux系统日志
weixin_33770878的博客
07-07 616
嵌入式 Linux进程间通信(四)——Linux系统日志syslog 是一种工业标准的协议,用来记录设备的日志Linux日志系统由系统日志监控程序syslogd和内核日志监控程序klogd组成,两个监控程序都是守护程序(daemon),且都注册成了系统服务。syslogd专门记录非内核的其他设备所产生的日志,当系统的控制权由系统交给init的时候,日志信息的...
Linux 通过rsyslog配置日志服务器
12-02
详细介绍如果配置Linux日志服务器,包括客户端和服务器端的配置。供参考!
syslog日志服务器安装及配置详解,本地亲测,很实用
04-10
syslog日志服务器配置在以下系统上实验成功:  Linux 系统 (Redhat5.X、Cent OS 6、Fedora 6)  Unix 系统 (SUN Solaris 10、AIX 6.1、HP-UNIX)  Windows 系统 (Window XP/server)  网络设备 (Cisco...
linux操作系统下NTP服务器配置
01-20
 同步时钟大的好处是相关系统上日志文件中的数据,如果网络中使用中央日志主机集中管理日志,得到的日志结果更能反映真实情况。在同步了时钟的网络中,集中式的性能监控、服务监控系统能实时的反应系统信息,系统...
Linux配置DNS服务
热门推荐
wwl012345的博客
05-20 9万+
一、DNS服务简介 DNS服务器,也称为域名解析服务器,是用来将互联网上的域名解析为IP地址的一类服务器,在世界上有成百上千台DNS服务器。对于有些公司来说,对于同一个域名可能有多个DNS服务器,这样可以降低主域名服务器的负载。例如www.baidu.com,可能会存在多个DNS服务器,因为在同一时刻可能有成百上千台主机同时请求www.baidu.com这个域名,如果只有一台DNS...
Linux防火墙配置
wwl012345的博客
06-26 3万+
一、实验要求 1.不允许外网不经过防火墙与内网进行通信 2.允许内网用户通过防火墙访问外部HTTP、HTTPS服务器 3.允许内网用户通过防火墙访问外部FTP服务器 二、实验环境 1.使用两台Linux虚拟机和一台win10物理机。一台Linux主机作为网关(需要双网卡),另一台Linux主机作为内网,使用物理机作为外网。 2.我使用的是Red Hat6.5版本。Red Hat 7及...
Linux配置FTP服务
wwl012345的博客
06-02 1万+
一、实验环境 两台Linux主机,一台作为FTP服务器,另一台作为FTP客户机。 二、实验步骤 1.服务器端 (1):配置主机IP,为静态IP。 (2):修改内容如下 (3):重启网络服务 2.客户机端 (1):配置主机IP,为静态IP (2): 修改内容如下 (3):重启网络服务 3.配置服务器端 (1):查看服务器端是否安装了安装FTP服务 ...
PXE网络装机
wwl012345的博客
06-11 7218
一、相关概念 1.PXE网络装机的概念 PXE(Pre-boot Execution Environment)是由Intel设计的协议,它可以使计算机通过网络启动。基于Client/Server的网络模式,支持工作站通过网络从远端服务器下载映像,并由此支持通过网络启动操作系统,当计算机引导时,BIOS把PXE client调入内存执行,并显示出命令菜单,经用户选择后,PXE c...
linux服务器设置日志保留事件
05-28
Linux服务器中,日志保留时间可以通过修改日志轮换配置文件来进行设置。以下是具体的步骤: 1. 打开日志轮换配置文件,例如: ``` vi /etc/logrotate.conf ``` 2. 在配置文件中找到需要设置保留时间的日志类型,例如syslog,然后在其下方添加以下配置: ``` /var/log/syslog { rotate 7 daily missingok notifempty delaycompress compress postrotate /usr/bin/killall -HUP rsyslogd endscript } ``` 其中,`rotate 7`表示保留7个日志文件,`daily`表示按天轮换日志,`missingok`表示如果日志文件不存在,则忽略该文件,`notifempty`表示如果日志文件为空,则不轮换该文件,`delaycompress`表示压缩轮换后的文件,`compress`表示压缩轮换前的文件。 3. 保存文件并退出。 4. 手动执行日志轮换命令,例如: ``` logrotate -f /etc/logrotate.conf ``` 这样就会执行一次日志轮换操作,并根据配置文件中的设置来删除过期的日志文件。 注意:不同的日志类型可能会有不同的配置文件和设置方式,具体设置方法需要根据实际情况进行调整。同时,建议对重要的日志文件进行备份,以防止意外删除或恶意篡改。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值