Linux日志主机的部署[阮胜昌]

1. 日志主机的部署
日志主机采用一台RHEL 5的服务器(假设其主机名为loghost),日志收集软件采用Linux平台上的Syslog,Syslog一般都随Linux系统安装时已经安装，对于我们部署整个系统提供了极大的便利性，因此在此不对其安装步骤进行阐述，仅讲述其配置方法。
Syslog既可作为客户端，也可作为服务器端，并且支持远程的日志收集。其配置文件为/etc/sysconfig/syslog，要配置其作为服务器端，需对此配置文件相应部分改为如下所示：
SYSLOGD_OPTIONS=“-r -m 0”
“-r”选项表示使syslog接收客户端的远程日志信息。
接下来重启Syslog服务器端使配置生效：
#service syslog restart
由于Syslog采用514端口监听来自各客户端的日志信息，因此需要在日志主机的防火墙上开放514端口，以iptables为例，对特定网段开放514端口：
/sbin/iptables -A INPUT -i eth0 -p tcp -s 192.168.0.0/16 -dport 514 -syn -j ACCEPT

2.客户端的部署
2.1 Linux平台下客户端的部署
在Linux平台下依然选择syslog作为客户端进行部署，此时此配置文件为/etc/syslog.conf,其默认配置为(仅以/var/log/message日志为例)：
*.info;mail.none;authpriv.none;cron.none /var/log/messages
/var/log/message即Sysolg存放系统日志的绝对路径，将此值替换为日志主机名即可。例子如下：
*.info;mail.none;authpriv.none;cron.none @loghost
根据上述配置，当Syslog重启使用配置生效后，客户端服务器的日志信息将会实时的传送到日志主机的/var/log/message文件里，对各服务器的日志信息进行统一的管理。
使用如下命令重启Syslog服务使配置生效：
#service syslog restart
依上述方法将其他系统日志信息(如/var/log/secure)导入到日志主机上。
笔者建议，采用添加配置而非修改的方法，同时在本地及日志主机上保存系统日志。
2.2 Windows平台下客户端的部署
在windows平台下采用软件evtsys进行客户端的部署，其下载链接为
http://code.google.com/p/eventlog-to-syslog/downloads/list
解开后得到两个文件：evtsys.ext和evtsys.dll。将这两个文件放到
C：\WINDOWS\system32目录下，在命令行状态下运行如下命令进行安装：
%systemroot%\system32\evtsys -i -h loghost
当安装成功后，可查看服务列表看到相应的信息，如图1所示。
卸载evtsys：
%systemroot%\system32\evtsys -u
更改日志主机名：
Net stop evtsys
evtsys -u
evtsys -l -h newloghost
net start evtsys
二、日志主机的自动日志分析与监控
1. 利用Logwatch 进行日志监控
linux中，已经默认安装了Logwatch，配合Sendmail的邮件发送功能，向系统管理员发送前一天的日志分析结果邮件。其配置文件
为/etc/logwatch/conf/logwatch.conf，下面是省略注释后的配置文件，一般只需将MailTo部分改为系统管理员邮箱地址即可。
LogDir = /var/log
MailTo = [email protected]
Print = No
Range = yesterday
Detail = High
Service = All
2. 利用Swatch进行日志的实时监控
Swatch 下载链接为
http://sourceforge.net/projects/swatch/
要安装 Swatch，需要先安装两个perl模块包：Date-Calc-5.4.tar.gz和TimeDate-1.16.tar.gz 接着安装Swatch,安装步骤如下：
#tar-zxvf swatch-3.2.1.tar.gz
#cd swatch-3.2.1
#perl Makefile.pl
#make
#make test
#make install
配置Swatch使其作，需建立配置文件~/.swatchrc,按照其语法规则添加监测的相
关内容，可使用“man swatch”命令查看具体配置内容及含义。
使用“swatch--help”查看Swatch运行时的具体选项。
当出现监控到的信息时，Swatch即会实时地发送邮件给系统管理员，及时杜绝入侵者的各种入侵尝试，保护系统的安全。