Linux日志主机的部署[阮胜昌]

1. 日志主机的部署
日志主机采用一台RHEL 5的服务器(假设其主机名为loghost),日志收集软件采用Linux平台上的Syslog,Syslog一般都随Linux系统安装时已经安装,对于我们部署整个系统提供了极大的便利性,因此在此不对其安装步骤进行阐述,仅讲述其配置方法。
Syslog既可作为客户端,也可作为服务器端,并且支持远程的日志收集。其配置文件为/etc/sysconfig/syslog,要配置其作为服务器端,需对此配置文件相应部分改为如下所示:
SYSLOGD_OPTIONS=“-r -m 0”
“-r”选项表示使syslog接收客户端的远程日志信息。
接下来重启Syslog服务器端使配置生效:
#service syslog restart
由于Syslog采用514端口监听来自各客户端的日志信息,因此需要在日志主机的防火墙上开放514端口,以iptables为例,对特定网段开放514端口:
/sbin/iptables -A INPUT -i eth0 -p tcp -s 192.168.0.0/16 -dport 514 -syn -j ACCEPT

2.客户端的部署
2.1 Linux平台下客户端的部署
在Linux平台下依然选择syslog作为客户端进行部署,此时此配置文件为/etc/syslog.conf,其默认配置为(仅以/var/log/message日志为例):
*.info;mail.none;authpriv.none;cron.none /var/log/messages
/var/log/message即Sysolg存放系统日志的绝对路径,将此值替换为日志主机名即可。例子如下:
*.info;mail.none;authpriv.none;cron.none @loghost
根据上述配置,当Syslog重启使用配置生效后,客户端服务器的日志信息将会实时的传送到日志主机的/var/log/message文件里,对各服务器的日志信息进行统一的管理。
使用如下命令重启Syslog服务使配置生效:
#service syslog restart
依上述方法将其他系统日志信息(如/var/log/secure)导入到日志主机上。
笔者建议,采用添加配置而非修改的方法,同时在本地及日志主机上保存系统日志。
2.2 Windows平台下客户端的部署
在windows平台下采用软件evtsys进行客户端的部署,其下载链接为
http://code.google.com/p/eventlog-to-syslog/downloads/list
解开后得到两个文件:evtsys.ext和evtsys.dll。将这两个文件放到
C:\WINDOWS\system32目录下,在命令行状态下运行如下命令进行安装:
%systemroot%\system32\evtsys -i -h loghost
当安装成功后,可查看服务列表看到相应的信息,如图1所示。
卸载evtsys:
%systemroot%\system32\evtsys -u
更改日志主机名:
Net stop evtsys
evtsys -u
evtsys -l -h newloghost
net start evtsys
二、日志主机的自动日志分析与监控
1. 利用Logwatch 进行日志监控
linux中,已经默认安装了Logwatch,配合Sendmail的邮件发送功能,向系统管理员发送前一天的日志分析结果邮件。其配置文件
为/etc/logwatch/conf/logwatch.conf,下面是省略注释后的配置文件,一般只需将MailTo部分改为系统管理员邮箱地址即可。
LogDir = /var/log
MailTo = [email protected]
Print = No
Range = yesterday
Detail = High
Service = All
2. 利用Swatch进行日志的实时监控
Swatch 下载链接为
http://sourceforge.net/projects/swatch/
要安装 Swatch,需要先安装两个perl模块包:Date-Calc-5.4.tar.gz和TimeDate-1.16.tar.gz 接着安装Swatch,安装步骤如下:
#tar-zxvf swatch-3.2.1.tar.gz
#cd swatch-3.2.1
#perl Makefile.pl
#make
#make test
#make install
配置Swatch使其作,需建立配置文件~/.swatchrc,按照其语法规则添加监测的相
关内容,可使用“man swatch”命令查看具体配置内容及含义。
使用“swatch--help”查看Swatch运行时的具体选项。
当出现监控到的信息时,Swatch即会实时地发送邮件给系统管理员,及时杜绝入侵者的各种入侵尝试,保护系统的安全。

 

 

你可能感兴趣的:(linux,主机,的)