远程日志管理:

S:192.168.10.115

C:192.168.10.43

1.S,C端安装rsyslog

yum  -y  install  rsyslog

2.修改S端配置监听514端口,提供远程日志存放。

vi  /etc/rsyslog.conf   ##去掉13,14,17,18的注释

12 # Provides UDP syslog reception

13 $ModLoad imudp

14 $UDPServerRun 514

15 

16 # Provides TCP syslog reception

17 $ModLoad imtcp

18 $InputTCPServerRun 514

:wq

[root@ipa ~]# vi  /etc/rsyslog.d/remote.conf    ##新建 

:fromhost,isequal, "192.168.10.43" /var/log/remote_10.43.log    ##指定客户端日志存放位置

:fromhost,isequal, "192.168.10.43" ##指定客户端ip

:wq


/etc/init.d/rsyslog  restart

netstat  -uptln  |grep  514   

tail  -f  /var/log/remote_10.43.log   ##跟踪变化

/etc/init.d/iptables  stop  ##关闭iptables


3.修改C端日志存放位置

vi  /etc/rsyslog.conf 

*.* @@192.168.10.115:514  ##在最后一行添加,将本机的所有日志存放到S端

:34,63 s/^/#/g     ##在末行模式中给34-63行加注释,取消掉原有的日志存放规则

:wq

/etc/init.d/rsyslog   restart


4.验证

C端:

logger  “test log remote”

S端观察/var/log/remote_10.43.log变化,是否记录


5.扩展:

lastb 查看登录失败日志

last  查看登录成功日志

/var/log/secure  ##登录日志

统一存放的日志可以使用awstats分析。

audit日志不归rsyslog管理,上述配置不能实现audit日志远程存放;audit审计日志,包selinux,权限修改等。