本站所有文章均为原创,如对您有帮助,恳请帮忙点击任何一处广告
  • 首页
  • 系统安全
  • CentOS 7日志分析与安全+日志服务器rsyslogd的搭建与使用

CentOS 7日志分析与安全+日志服务器rsyslogd的搭建与使用

发布:TangLu2017-6-23 14:52分类: 系统安全 标签: 日志 rsyslog

一、什么是日志

日志用于记录系统、程序运行中发生的各种事件。通过日志可以排查解决故障,日志也是审计的基础。日志又分为系统日志(由系统服务rsyslog进行统一管理)、用户日志(记录用户登录登出系统的信息)以及程序日志(最为主要的日志,由各应用产生,如apache日志、nginx日志等)。


二、常见日志介绍

内核及公共消息日志:/var/log/messages

计划任务日志:/var/log/cron

系统引导日志:/var/log/dmesg

邮件服务日志:/var/log/maillog

用户登录验证日志:/var/log/secure

最近用户登录日志:/var/log/lastlog    

用户登录日志:/var/log/wtmp(该文件是二进制文件,不能用cat、tail等命令访问,而是通过last命令来调用

last命令

用于显示所有用户的登录信息。根据读取到的/var/log/wtmp文件,将登录系统的用户名单全部显示出来,如图:

last.png


还有一个lastlog命令,可以查看到每个用户最后一次的登录情况

last2.png


三、日志的管理策略:

1、延长日志保存期限

2、控制日志的访问权限,尤其涉及到用户敏感信息的日志

3、集中管理日志,将日志文件统一发送到日志文件服务器上,如rsyslogd,这样不但便于日志信息的收集整理,还可以防止日志的丢失或恶意篡改与删除等情况


四、rsyslogd服务的搭建:

1、从CentOS 6开始,rsyslogd服务取代了syslogd,在配置rsyslogd前需要了解下系统日志的8个级别:

0 EMERG(紧急):可能导致系统不可用的情况

1 ALERT(警报):必须马上解决的问题

2 CRIT(严重错误):比较严重的情况

3 ERR(错误):运行出现错误

4 WARNING(警告):可能会影响系统功能的情况

5 NOTICE(注意):普通提示信息,不影响系统

6 INFO(普通信息):一般信息

7 DEBUG(调试):程序调试用


2、rsyslogd一般会跟随系统默认安装,可以通过rpm命令查询下

rsyslog2.png


3、rsyslogd主配置文件是/etc/rsyslog.conf,主要需要留意的就是RULES段里的配置,格式基本上就是“某某服务某某级别的日志需要记录在某某服务器上”,如图:

rsyslog1.png


服务端安装好了后,客户端只需要修改rsyslogd配置文件,指明需要发送日志到哪台服务器,如

*.*         @192.168.1.100:514
# none代表不发送日志,如cron.none    

重启rsyslogd服务,然后在rsyslogd服务端上查看下日志,看下是否接受到了客户端发来的日志


温馨提示如有转载或引用以上内容之必要,敬请将本文链接作为出处标注,谢谢合作!
et_highlighter51
版权所有:《Linux运维技术学习站点
文章标题:《CentOS 7日志分析与安全+日志服务器rsyslogd的搭建与使用
除非注明,文章均为 《Linux运维技术学习站点》 原创
转载请注明本文短网址:http://www.linuxe.cn/post-370.html  [生成短网址]

已有 0/5871 人参与

发表评论:

欢迎分享Linux运维技术学习站点

欢迎使用手机扫描访问本站,还可以关注微信哦~