日志对于安全来说非常重要,他记录了系统每天发生的各种各样的事情,你可以通过它来检查错误发生的原因,或者受到攻击时攻击者留下的痕迹。
日志主要起审计和监测的作用,他能够监测系统状态,监测和追踪侵入者等。所以保存日志就显得格外重要。单纯的讲,系统只会把日志存放在本地,但是当一个系统工程师管理十台甚至上百台的服务器时,如果他需要查看日志,那么他就需要一台一台服务器的登录查看,这样显然是效率最低下的,但是如果我们把所有的服务器的日志都发送到一台服务器上去,那么就可以节省很多不必要的登录和重复操作。
在讲解如何把一台服务器的日志发送到另一台服务器上去之前,先简单介绍一下syslog
一、syslog日志的简介
一个被UNIX和Linux广泛使用的日志系统,Linux系统中大部分的日志文件都是通过它进行管理的。
其中syslog日志中主要包括三大部分:
日志的来源(facility),日志的优先级(priority),日志的存放路径
其中上图中*,mail,authpriv,cron是日志来源,info,noe则表示级别,/var/log/message 则表示日志存放的路径
把一台服务器(我们用A机来代替)的日志发送到另一台服务器(我们用B机来代替)步骤如下:
在开始之前我们先做一些准备工作:
首先我们应该保持两台主机能够互相通信,即彼此能够Ping通,这也是我们把日志信息从一台主机发到另一台主机的前提。
其次要保证我们的防火墙是关闭的,可以使用service iptables stop命令来关闭
1、在A机的/etc/syslog.conf 文件中修改我们想要存放到另一服务器的日志信息的存放路径,这里我们修改了message:如下图
2.然后利用service syslog restart 重启日志服务,来使我们的修改生效
3. 虽然我们已经把A机的记录日志信息发送到我们要记录到的服务器主机B机上,但是我们的B机也要具有接受A机日志信息的功能。所以需要把B机/etc/sysconfig/syslog中的SYSLOGD_OPTIONS修改成如下图所示的
因为每次操作日志服务都要重启后才能生效,所以对B机也要重启日志服务
后续工作完成后,接下来让我们看一下A机日志是怎么记录到B机上的
4.由于message中包含了重启日志服务所产生的日志信息,所以再次利用service syslog restart 重启A机的日志服务,然后查看B机/var/syslog/message目录下的信息,显示如下信息,说明我们已经成功将A机的日志信息记录到了B机上
本文转自 沐木小布丁 51CTO博客,原文链接:http://blog.51cto.com/sxhxt/894594
