`
hongliangpan
  • 浏览: 319767 次
  • 性别: Icon_minigender_1
  • 来自: 北京
社区版块
存档分类
最新评论
阅读更多

<!----><!----> <!---->

syslog 配置

 

来源: ChinaUnix 博客  日期: 2007.03.13 11:17  ( 共有条评论) 我要评论   .syslog 基本介绍
本文作者:zcj
来源:
http://www.unixren.com
本文可以任意转载, 请保留作者和来源
日志文件由系统日志和内核日志监控程序syslogdklogd 控制,/etc/syslog.conf 文件中配置这两个监控程序默认活动。
日志文件按/etc/syslog.conf 配置文件中的描述进行组织。下图是/etc/syslog.conf 文件的内容:
[root@localhost ~]# cat /etc/syslog.conf
# Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.* /dev/console
# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none /var/log/messages
# The authpriv file has restricted access.
authpriv.* /var/log/secure
# Log all the mail messages in one place.
mail.* -/var/log/maillog
# Log cron stuff
cron.* /var/log/cron
# Everybody gets emergency messages
*.emerg *
# Save news errors of level crit and higher in a special file.
uucp,news.crit /var/log/spooler
# Save boot messages also to boot.log
local7.* /var/log/boot.log
syslog.conf
行的基本语法是:
[
消息类型][ 处理方案]
注意:中间的分隔符必须是Tab 字符!
消息类型是由" 消息来源"" 紧急程度" 构成,中间用点号连接。例如上图中,news.crit 表示来自news 关键 状况。在这里,news 是消息来源,crit 代表关键状况。通配符* 可以代表一切消息来源。
说明:
第一条语句*.info ,将info 级以上(notice,warning,err,crit,alertemerg )的所有消息发送到相应日志文件。
日志文件类别(按重要程度分类)日志文件可以分成八大类,下面按重要性从大到下列出:emerg  emergency ,紧急alert 警报crit  critical ,关键errerror ,错误warning  警告notice 通知info  信息debug  调试
简单列一下消息来源
auth
    认证系统,如loginsu ,即询问用户名和口令
cron
    系统执行定时任务时发出的信息
daemon
   某些系统的守护程序的 syslog ,如由in.ftpd 产生的log
kern
    内核的信息
lpr
     打印机的信息
mail
    处理邮件的守护进程发出的信息
mark
    定时发送消息的时标程序
news
    新闻组的守护进程的信息
user
    本地用户的应用程序的信息
uucp
    uucp 子系统的信息
*
     表示所有可能的信息来源
处理方案
"
处理方案" 选项可以对日志进行处理。可以把它存入硬盘,转发到另一台机器或显示在管理员的终端上。
处理方案一览:
文件名  写入某个文件,要注意绝对路径。
@
主机名 转发给另外一台主机的syslogd 程序。
@IP
地址 同上,只是用IP 地址标识而已。
/dev/console
发送到本地机器屏幕上。
*
发送到所有用户的终端上。
|
程序 通过管道转发给某个程序。
例如:
kern.emerg
/dev/console(
一旦发生内核的紧急状况,立刻把信息显示在控制台上)
说明:
如果想修改syslogd 的记录文件,首先你必须杀掉syslogd 进程,在修改完毕后再启动syslogd 。攻击者进入系统后通常立刻修改系统日志,因 此作为网管你应该用一台机器专门处理日志信息,其他机器的日志自动转发到它上面,这样日志信息一旦产生就立刻被转移,这样就可以正确记录攻击者的行为。
将日志文件记录到远程主机 。
说到这远程主机就是我们本文要配置的syslog 服务器。
2.syslog
服务器配置实践步骤
例如: 10.0.0.1syslog 服务器     10.0.0.2 为客户机
步骤: 1. 服务端配置
vi /etc/sysconfig/syslog      
      sysLOGD_OPTIONS = “-r –m 0”   ## -r
意思是接受远程的日志
   
重起syslog 服务 /etc/rc.d/init.d/syslog   restart
    2.
客户端配置
      vi /etc/syslog.conf
      
在消息去向处添加 @10.0.0.1
例如:*.info;mail.none;authpriv.none;cron.none @10.0.0.1
      
存盘退出重起服务
      /etc/rc.d/init.d/syslog restart
    (
知识点:直接查看日志尾部:   tail   /var/log/messages 或者tail /var/log/boot 这样就可以看到syslog 重起)
注意:日志服务使用的端口是:514/udp syslog 服务器应该打开这个端口
syslog
日志服务器端不能根据源地址过滤,为了防止外网向日志服务器写垃圾信息要在网络拓扑中解决,网关上做限制外网访问514 端口。
如果服务器比较多的话,这样形成的日志比较大,要做好日志的分析
3.
一些日志工具
chklastlog
ftp://coast.cs.purdue.edu/pub/tools/unix/chklastlog/

chkwtmp
ftp://coast.cs.purdue.edu/pub/tools/unix/chkwtmp/

dump_lastlog
ftp://coast.cs.purdue.edu/pub/tools/unix/dump_lastlog.Z

spar
ftp://coast.cs.purdue.edu/pub/tools/unix/TAMU/

Swatch
http://www.lomar.org/komar/alek/pres/swatch/cover.html

Zap
ftp://caost.cs.purdue.edu/pub/tools/unix/zap.tar.gz

日志分类方法
http://csrc.nist.gov/nissc/1998/proceedings/paperD1.pdf

有任何问题请到
http://bbs.unixren.com

 

分享到:
评论

相关推荐

    Unix-Syslog-1.1.tar.gz

    Unix-Syslog-1.1.tar.gz是一个包含Unix Syslog 1.1版本的压缩包文件,用于在目标系统上安装和配置Syslog服务。 一、Unix Syslog的基本概念 Unix Syslog是一个分布式日志记录协议,允许系统和服务在本地或远程设备上...

    Unix-Syslog-0.100.tar.gz

    在安装extman时,确保已经正确安装并配置了Unix-Syslog,因为extman是一个扩展管理工具,可能用于管理postfix邮件服务器。Postfix是一个流行的、开源的SMTP服务器,用于处理电子邮件的接收和发送。在部署postfix时,...

    syslog配置[参照].pdf

    syslog配置是管理和监控系统日志的重要工具,尤其在类UNIX系统如Linux和Unix中广泛使用。它允许系统管理员收集、分类和存储来自不同来源的日志信息,便于故障排查、安全审计和性能分析。本文将详细介绍syslog配置的...

    基于yocto和buildroot平台的syslog配置分享版.doc

    Syslog 是 Unix 类操作系统上的一个系统日志工具,负责记录内核和应用程序产生的日志信息。Syslog 日志消息既可以记录在本地文件中,也可以通过网络发送到接收 syslog 的服务器。接收 syslog 的服务器可以对多个设备...

    syslog在UNIX和Windows服务器端及客户端配置

    #### 二、在UNIX环境下的Syslog配置 1. **syslog服务介绍**: - 在UNIX系统中,通常使用`syslogd`作为syslog服务程序。 - syslog服务默认监听514端口接收日志消息,并根据配置文件中的规则将这些消息发送到指定的...

    如何在windows服务器中使用syslog功能

    确保这些应用的syslog配置正确指向Windows服务器的syslog服务。 7. 监控和分析:一旦syslog服务运行正常,你可以在Kiwi Syslog Server的界面中查看、搜索和分析日志信息。此外,可以利用第三方工具如Log Explorer或...

    syslog日志服务器安装及配置详解,本地亲测,很实用

    syslog日志服务器配置在以下系统上实验成功:  Linux 系统 (Redhat5.X、Cent OS 6、Fedora 6)  Unix 系统 (SUN Solaris 10、AIX 6.1、HP-UNIX)  Windows 系统 (Window XP/server)  网络设备 (Cisco...

    国内常见网络与安全、主机系统的syslog配置方法.pdf

    syslog 配置方法 syslog 是一種日誌記錄协议,允許系统管理员在一個集中式的日誌服務器上收集和分析各种设备和系统的日誌信息。下面是 domestically common network 和安全、主機系統的 syslog 配置方法。 UNIX 主...

    SysLog日志工具1

    接口提供了初始化和销毁方法,允许开发者根据需要定制SYSLOG配置,包括协议、主机、端口、字符集和设施类型。`init()`方法使用默认参数初始化,`init(String protocol, String host, int port, String charset)`和`...

    Syslog4j首页、文档和下载 - Syslog协议的Java版 - 开源中国社区.pdf

    3. **灵活性**:用户可以根据需要选择不同的Syslog配置选项,例如设置主机地址、端口等。 4. **跨平台性**:作为Java程序的一部分,Syslog4j可以在任何支持Java的平台上运行,这极大地增强了其适用范围。 5. **...

    CISCO配置syslog的方法.doc

    syslog是unix系统中的一种日志记录协议,用于记录系统中发生的事件。CISCO设备也支持syslog协议,可以将日志信息发送到远程服务器或本地存储。 一、启动log服务 要在CISCO设备上启动log服务,需要按照以下步骤进行...

    kiwi syslog server 9.5

    Kiwi Syslog Server安装教程: ...这些产品的安装与配置非常简单,提供功能丰富的解决方案来接收、记录、显示并转发各种网络设备(例如路由器、交换机、Unix 主机以及其它启用 syslog 的设备)的 syslog 消息。

    Unix系统用户登录、操作命令日志配置方法-(一).doc

    本文详细介绍了 Unix 系统用户登录和操作命令日志配置方法,包括 syslog 介绍、syslogd 介绍、syslog.conf 介绍、syslog-ng 介绍、Unix 系统用户登录日志配置和 Unix 系统操作命令日志配置等内容。希望本文能够为...

    syslog-ng配置说明

    它的配置文件位于`/etc/syslog-ng/syslog-ng.conf`,该文件定义了syslog-ng如何处理日志消息。本文将详细解释syslog-ng配置的主要组件:消息源(SOURCES)、过滤器(FILTERS)和目的地(DESTINATIONS)。 1. **消息源...

    syslog日志可视化工具

    使用这款工具,用户可以检查syslog消息是否正确到达目的地,从而验证syslog配置的有效性。不过,具体的工具功能、特性及如何使用,需要参考该软件的用户手册或在线文档来获取详细信息。 总之,syslog日志可视化工具...

    syslog syslog4j syslogd linuxsyslog4j

    3. **syslogd**:syslogd是syslog服务的守护进程,通常在Unix和类Unix系统(如Linux)上运行。syslogd接收syslog消息,根据配置文件进行过滤、归档或转发,并可以写入本地日志文件。syslogd的配置决定了如何处理接收...

    syslog-ng安装包及安装步骤

    3. **配置syslog-ng**:进入解压后的syslog-ng目录,运行配置脚本,并指定所需的选项。如果需要eventlog模块,需要将其源代码添加到syslog-ng的源目录中。 ```bash cd syslog-ng-3.3.5 ./configure --prefix=/usr...

    让Windows主机发送SysLog

    SysLog是一种标准的日志记录协议,通常用于Linux和Unix系统,但也有适用于Windows的实现。 SysLog在IT管理中起着至关重要的作用,它允许系统管理员收集、存储和分析来自不同网络设备和服务器的日志信息,以进行...

    syslog

    在Linux和Unix系统中,syslog服务尤为重要,因为它能够集成各种软件的日志,帮助管理员跟踪系统活动。 syslog协议本身并不复杂,它定义了日志消息的结构和传输方式。日志消息由一系列的字段组成,包括优先级、设施...

Global site tag (gtag.js) - Google Analytics