syslog 配置
来源: ChinaUnix 博客 日期: 2007.03.13 11:17 ( 共有条评论) 我要评论 一.syslog 基本介绍
本文作者:zcj
来源:
http://www.unixren.com
本文可以任意转载, 请保留作者和来源
日志文件由系统日志和内核日志监控程序syslogd 与klogd 控制, 在/etc/syslog.conf 文件中配置这两个监控程序默认活动。
日志文件按/etc/syslog.conf 配置文件中的描述进行组织。下图是/etc/syslog.conf 文件的内容:
[root@localhost ~]# cat /etc/syslog.conf
# Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.* /dev/console
# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none /var/log/messages
# The authpriv file has restricted access.
authpriv.* /var/log/secure
# Log all the mail messages in one place.
mail.* -/var/log/maillog
# Log cron stuff
cron.* /var/log/cron
# Everybody gets emergency messages
*.emerg *
# Save news errors of level crit and higher in a special file.
uucp,news.crit /var/log/spooler
# Save boot messages also to boot.log
local7.* /var/log/boot.log
syslog.conf 行的基本语法是:
[ 消息类型][ 处理方案]
注意:中间的分隔符必须是Tab 字符!
消息类型是由" 消息来源" 和" 紧急程度" 构成,中间用点号连接。例如上图中,news.crit 表示来自news 的“ 关键” 状况。在这里,news 是消息来源,crit 代表关键状况。通配符* 可以代表一切消息来源。
说明:
第一条语句*.info ,将info 级以上(notice,warning,err,crit,alert 与emerg )的所有消息发送到相应日志文件。
日志文件类别(按重要程度分类)日志文件可以分成八大类,下面按重要性从大到下列出:emerg emergency ,紧急alert 警报crit critical ,关键errerror ,错误warning 警告notice 通知info 信息debug 调试
简单列一下消息来源
auth 认证系统,如login 或su ,即询问用户名和口令
cron 系统执行定时任务时发出的信息
daemon 某些系统的守护程序的 syslog ,如由in.ftpd 产生的log
kern 内核的信息
lpr 打印机的信息
mail 处理邮件的守护进程发出的信息
mark 定时发送消息的时标程序
news 新闻组的守护进程的信息
user 本地用户的应用程序的信息
uucp uucp 子系统的信息
* 表示所有可能的信息来源
处理方案
" 处理方案" 选项可以对日志进行处理。可以把它存入硬盘,转发到另一台机器或显示在管理员的终端上。
处理方案一览:
文件名 写入某个文件,要注意绝对路径。
@ 主机名 转发给另外一台主机的syslogd 程序。
@IP 地址 同上,只是用IP 地址标识而已。
/dev/console 发送到本地机器屏幕上。
* 发送到所有用户的终端上。
| 程序 通过管道转发给某个程序。
例如:
kern.emerg
/dev/console( 一旦发生内核的紧急状况,立刻把信息显示在控制台上)
说明:
如果想修改syslogd 的记录文件,首先你必须杀掉syslogd 进程,在修改完毕后再启动syslogd 。攻击者进入系统后通常立刻修改系统日志,因 此作为网管你应该用一台机器专门处理日志信息,其他机器的日志自动转发到它上面,这样日志信息一旦产生就立刻被转移,这样就可以正确记录攻击者的行为。
将日志文件记录到远程主机 。
说到这远程主机就是我们本文要配置的syslog 服务器。
2.syslog 服务器配置实践步骤
例如: 10.0.0.1 为syslog 服务器 10.0.0.2 为客户机
步骤: 1. 服务端配置
vi /etc/sysconfig/syslog
sysLOGD_OPTIONS = “-r –m 0” ## -r 意思是接受远程的日志
重起syslog 服务 /etc/rc.d/init.d/syslog restart
2. 客户端配置
vi /etc/syslog.conf
在消息去向处添加 @10.0.0.1
例如:*.info;mail.none;authpriv.none;cron.none @10.0.0.1
存盘退出重起服务
/etc/rc.d/init.d/syslog restart
( 知识点:直接查看日志尾部: tail /var/log/messages 或者tail /var/log/boot 这样就可以看到syslog 重起)
注意:日志服务使用的端口是:514/udp syslog 服务器应该打开这个端口
syslog 日志服务器端不能根据源地址过滤,为了防止外网向日志服务器写垃圾信息要在网络拓扑中解决,网关上做限制外网访问514 端口。
如果服务器比较多的话,这样形成的日志比较大,要做好日志的分析
3. 一些日志工具
chklastlog
ftp://coast.cs.purdue.edu/pub/tools/unix/chklastlog/
chkwtmp
ftp://coast.cs.purdue.edu/pub/tools/unix/chkwtmp/
dump_lastlog
ftp://coast.cs.purdue.edu/pub/tools/unix/dump_lastlog.Z
spar
ftp://coast.cs.purdue.edu/pub/tools/unix/TAMU/
Swatch
http://www.lomar.org/komar/alek/pres/swatch/cover.html
Zap
ftp://caost.cs.purdue.edu/pub/tools/unix/zap.tar.gz
日志分类方法
http://csrc.nist.gov/nissc/1998/proceedings/paperD1.pdf
有任何问题请到
http://bbs.unixren.com
分享到:
相关推荐
syslog.conf 文件是 syslog 的配置文件,用于指定 syslog 的日志级别、日志facility 和日志动作。syslog.conf 文件的格式如下所示: 类型.级别;类型.级别 [TAB] 动作 其中,facility 代表信息产生的源头,例如 ...
syslogd是一个系统日志守护进程,它接收并处理来自不同源的日志消息,而syslog.conf是其配置文件,用于定义日志消息如何被处理和存储。 首先,让我们深入了解syslog.conf。这是一个文本文件,位于/etc目录下,其...
Syslog的配置文件`/etc/syslog.conf`允许管理员自定义日志记录的行为,从而更好地监控系统运行状况、排查问题和维护系统安全。 #### 二、Syslog配置文件详解 ##### 1. 基本格式 `syslog.conf`文件的每一行遵循...
set_syslog_conf_dir("配置文件目录"); openlog("clientName", LOG_CONS | LOG_PID, 0); syslog(LOG_INFO, "This is a syslog message generated by program: %s\n","hello world!"); closelog(); //以上工作准备...
在Unix-Syslog-1.1.tar.gz中,用户可以找到用于配置syslogd的配置文件,通常名为`/etc/syslog.conf`。该文件定义了日志消息的处理规则,如哪些类型的消息应被记录,记录到哪个文件,以及如何转发到其他服务器。 四...
本文详细介绍了 Unix 系统用户登录和操作命令日志配置方法,包括 syslog 介绍、syslogd 介绍、syslog.conf 介绍、syslog-ng 介绍、Unix 系统用户登录日志配置和 Unix 系统操作命令日志配置等内容。希望本文能够为...
首先,syslog由syslogd守护进程管理,它监听系统中各个程序发送的日志信息,并根据配置决定这些信息的存储位置和处理方式。syslog的消息级别通常包括 emergency、alert、critical、error、warning、notice、info 和 ...
`redis.conf` 文件是 Redis 服务的核心配置文件,用于控制 Redis 的各种行为。本篇文章基于一份英文版本的 `redis.conf` 文件进行解读,详细介绍其中的关键配置项及其功能意义。 #### 二、基本配置 ##### 1. **...
在 Intel-SUN Solaris 服务器中,可以使用 syslog.conf 文件来配置 syslog。首先,编辑 syslog.conf 文件,添加要发送日志的设备和 syslog 服务器的地址。 二、交换机 syslog 配置 交换机是网络中的关键设备,...
`/etc/syslog.conf`是类UNIX系统中的syslog配置文件,其结构包含"选项"(selector)和"动作"(action)。选项定义了日志消息的来源(类型和级别),如`kern.warning`表示kernel产生的警告级别信息。动作则指定这些...
7. 除了php-fpm.conf之外,通常还会有其他*.conf配置文件,这些文件用于配置不同的进程池,每个进程池可以使用不同的用户运行,监听不同的端口,处理不同的任务。 8. 多个进程池可以共享同一个全局配置。 接下来,...
在CentOS 7系统中,主要通过`/etc/rsyslog.conf`这个配置文件来管理syslog服务。为了实现日志转发功能,需要在这个文件中添加相应的配置项。 **具体操作如下:** 1. 使用文本编辑器打开`/etc/rsyslog.conf`文件。 ...
### Redis配置文件(redis.conf)详解 #### 一、前言 `redis.conf`是Redis服务的核心配置文件,它包含了启动Redis实例所需的各项设置。通过合理地配置这些参数,可以优化Redis的服务性能,确保数据的安全性与可靠性...
syslog机制的核心是两个文件:/etc/syslogd(守护进程)和/etc/syslog.conf配置文件。syslogd的控制由/etc/syslog.conf完成,该配置文件定义了syslogd如何记录日志的行为。程序启动时会查询syslog.conf文件,该文件...
Syslog机制主要依赖两个核心文件:/etc/syslogd(守护进程)和/etc/syslog.conf配置文件。syslogd的控制由syslog.conf文件完成,该文件定义了syslogd程序记录日志的行为。 syslog.conf文件包含不同程序或消息分类的...
2. /etc/syslog.conf:这是 syslog 服务的主要配置文件,根据定义的规则导向日志信息。 五、Syslog 服务的 Facility 和 Level Syslog 服务的 Facility 和 Level 是 syslog 服务的两个重要概念: 1. Facility:...
几乎所有的网络设备都可以通过syslog协议,将日志信息以用户数据报协议(UDP)方式传送到远端服务器,远端接收日志服务器必须通过syslogd监听UDP 端口514,并根据 syslog.conf配置文件中的配置处理本机,接收访问系统...
### log4j集成syslog配置详解 在现代的IT运维管理中,日志记录与分析是确保系统稳定运行的关键环节之一。log4j作为Java应用中广泛使用的日志框架,其强大的日志处理能力得到了业界的认可。而syslog作为一种标准化的...