1023.990天：Linux CentOS 7搭建日志服务器

#每日三件事，第990天#

      《中华人民共和国网络安全法》第二十一条第一款第三项规定网络运营者应采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月。在GB/T22239《网络安全等级保护基本要求》的安全计算环境中，对安全审计也有明确的要求。

      在落实法律义务和责任，开展网络安全等级保护工作的过程中，日志服务器成了必不可少的一项。商用的日志审计系统固然好，但利用CentOS7也可以做一个简单的日志服务器，收集网络中其他设备的日志信息。

日志服务器端的配置：

yum install syslog，其实CentOS7默认就已经安装了rsyslog服务。系统会自动检测，并不会重新安装一遍syslog服务。

vim /etc/rsyslog.conf，找到#Providers TCP syslog reception这一行，把下面两行前面的#去掉即可：

#Providers TCP syslog reception

$ModLoad imtcp

$InputTCCPServerRun 514

======分割线 ======

在/etc/rsyslog.d/创建一个名为client_ip.conf的文件，每个日志发送客户端创建一个文件。我的实验环境中有一个ip为192.168.1.1的客户端，因此创建一个192.168.1.1.conf的文件。

vim /etc/rsyslog.d/192.168.1.1.conf

:fromhost-ip,isequal, "192.168.1.1" /var/log/client/192.168.1.1.log

systemctl restart rsyslog

重启之后一定要检查一下，使用命令：systemctl status rsyslog，并且保证rsyslog服务能够在开机时自动启动。

客户端的配置如下：

vim  /etc/rsyslog.conf，去掉#Providers TCP syslog reception下面两行的注释：

#Providers TCP syslog reception

$ModLoad imtcp

$InputTCCPServerRun 514

在最后一行添加：

*.*. @@192.168.1.10:514

其中192.168.1.10是日志服务器的IP地址。

systemctl restart rsyslog，并查看rsyslog的状态，保证服务在开机时自动启动。

此时在日志服务器上就可以接收到客户端发来的日志信息了。

日志文件存放目录: /var/log

[root@xing log]# cd /var/log

[root@xing log]# ls

messages：系统日志

secure：登录日志

————————————————

日志管理服务文件： vim /etc/rsyslog.conf

日志记录的日志级别：最不严重 ->最严重

debug, info, notice, warning, warn (same as warning), err, error (same

as err), crit, alert, emerg, panic (same as emerg)

测试提示：

[ming@xing etc]$ logger -p authpriv.emerg "==mingeror=="

[ming@xing etc]$

Message from syslogd@xing at Jul 18 11:00:41 ...

root: ==mingeror==

登录日志的错误信息同步写入 “/var/log/secure ” 文件中

————————————————

日志的异地备份

日志的异地备份至关重要。防止别人拿到你的root权限；用命令：echo "" >/var/log/secure 直接清空你的登录日志。

配置需备份日志的客户机（172.168.0.254）：

[root@xing etc]# vim rsyslog.conf

————————————————

配置文件修改：

#*.* @@remote-host:514

authpriv.* @@172.168.0.1:514

————————————————

[root@xing etc]# setenforce 0 //执行setenforce 0 表示 临时关闭 selinux防火墙。

[root@xing etc]# getenforce

Permissive

[root@xing etc]# service rsyslog restart

————————————————

配置日志记录服务器（172.168.0.1）：

[root@xing etc]# vim rsyslog.conf

————————————————

开启接收端口模块

# Provides TCP syslog reception

$ModLoad imtcp

$InputTCPServerRun 514

———

配置备份的数据源及日志备份存放文件

：fromhost-ip，isequal，“172.168.0.254” /var/log/client/172.168.0.254.log

————————————————

[root@xing etc]# service rsyslog restart

———————

ss -antpl | grep 514

————————————————

注意：配置成功需关闭双方服务器的防火墙，或者修改防火墙配置。

首先我们知道日志是什么,日志毫无疑问就跟我们写日记一样记录我们每天做的一些事情,那么日志对于一台服务器而言是至关重要的,比如说我们搭建服务的时候,服务起不来也没提示错误信息,那么这个时候就可以查看日志来排错了,还记录了服务器的运行情况已经入侵记录等等... ,那么我们知道一台服务器的日志默认是存放在本地的对于linux而言日志一般存放于/var/log/目录下,比如说某系统管理员管理着几十甚至上百台服务器的时候,默认日志放在每台服务器的本地,当我们每天要去看日志的时候一台一台的看日志是不是要郁闷死了. 没关系在linux系统上提供了一个syslogd这样的一个服务为我们提供日志服务器,他可以将多台主机和网络设备等等的日志存到日志服务器上,这样就大大减少了管理员的工作量,下面将在一台默认装有rhel5.x的系统上搭建一台日志服务器.

～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～

系统环境：默认安装有rhel5.8的系统

主机 角色 IP地址

server1日志服务器 10.0.0.1

server210.0.0.2

～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～

实际上日志服务器的配置非常之简单几条命令就搞定了

一.配置日志服务器为网络中其他主机及其网络设备等等提供日志存储服务,也就是配置server1

1. 在server1上编辑/etc/sysconfig/syslog文件修改如下

#vim /etc/sysconfig/syslog ## 只修改SYSLOGD_OPTINOS这项,如下

SYSLOGD_OPTIONS="-m 0 -r"

2 .重新启动syslog

#service syslog restart

3.配置防火墙,syslog传送日志的端口是UDP的514端口防火墙在默认的情况下是阻止所有的,这里就 直接把防火墙关闭了,防火墙的配置就不介绍了

#service iptables stop

#chkconfig iptables off

ok！到这里服务器的配置基本就结束了.

二.配置server2让其将日志发送到日志服务器上去,我们知道windows跟交换机路由器都是有日志产 生的,它们的日志也是可以存储到日志服务器上去的,这里就只介绍linux主机的

1.配置server2上的/etc/syslog.conf定义日志的类型以及日志的级别和日志存放的位置,这里就只简 单的介绍下大体的配置思路,

#vim /etc/syslog.conf

*.* @10.0.0.1

上面的配置表示所有的日志类型.所有的日志的级别的日志都将存放在10.0.0.1这台日志服务器上

2,重启syslog

#service syslog restart

三.验证

1.在server2上建一个redhat的用户,然后到server1上的/var/log/secure文件或者/var/log/messages文件 查看日志

#cat /var/log/secure

Jun 8 00:58:05 10.0.0.2 useradd[15463]: new group: name=redhat, GID=500

Jun 8 00:58:05 10.0.0.2 useradd[15463]: new user: name=redhat, UID=500, GID=500, home=/home/redhat, shell=/bin/bash

可以看到10.0.0.2这台主机new了一个redhat的用户

---