日志管理
操作系统的日志主要具有审计与检测的功能,有效利用日志信息并对其进行分析与实时的监控管理,对于系统的安全性具有极为重要的作用,日志文件所处的位置都在/var/log目录下
日志管理相关文件
-
/etc/rsyslog.conf
rsyslog服务的主配置文件,设置日志存储文件位置,等级信息,日志同步信息等authpriv.* /var/log/secure #服务名称[连接符号]日志等级 日志记录位置 *.info;mail.none;authpriv.none;cron.none /var/log/messages cron.* /var/log/cron
修改完配置文件后,记得 systemctl restart rsyslogd 重启生效,利用tail -f 日志文件 查看文件的后10行,并实时更新. -
日志分析
-
远程日志同步
实验:linux系统日志集中存储,将server主机的系统日志存储到desktop主机(接收方)
desktop主机:192.168.239.129/24
server主机:192.168.239.128/24 ## 关闭两台主机防火墙
desktop(接收方):
1 修改/etc/rsyslog.conf文件# Provides UDP syslog reception $ModLoad imudp.so ## 去掉这两行注释 $UDPServerRun 514 ## 采用UDP方式传输2 systemctl restart rsyslog ## 重启日志服务
server(发送方):
1 修改/etc/rsyslog.conf文件,添加如下信息*.info;mail.none;authpriv.none;cron.none @192.168.239.140 cron.* @192.168.239.140"@“表示采用UDP方式,”@@"表示采用TCP方式
2 systemctl restart rsyslog ## 重启日志服务
验证:
我在server虚拟机重启rsyslog,关闭firewalld的操作在desktop上就能看到同步的日志了
