Linux 系統日志
在 Linux 基線安全的規範中,要求将系統日志統一收集。防止被入侵或者宕機,導緻日志被丢失,導緻故障無法分析。
Linux 系統默認使用 rsyslog 管理系統日志,可以直接将日志同步到遠程的 rsyslog 日志服務,即可統一收集。
服務端
服務端需要開啟一個服務端口,給客戶端上傳日志,可以用 udp 也可以用 tcp。
安裝
默認系統已經安裝了 rsyslog 這個服務。如果發現沒有安裝可以直接使用 yum 進行安裝。
yum -y install rsyslog
配置服務
vim /etc/rsyslog.conf
# 在配置文件裡面直接去掉下面這兩個注釋即可。
$ModLoad imudp
$UDPServerRun 514
重啟服務
service rsyslog restart
防火牆記得開放 514 的 udp 端口。
客戶端
同樣也是需要安裝 rsyslog 服務
配置
vim /etc/rsyslog.conf
# 修改一下日志裡面的主機名,方便區分日志
$LocalHostName 192.168.1.100
# 可以收集所有日志
* @192.168.1.10:514
# 也可以隻收集錯誤日志
# *.err,*.alert,*.crit,*.emerg @192.168.1.10:514
重啟服務
service rsyslog restart
測試
logger -p alert "設置rsyslog測試"
zpostcode 
Recruit 
weather 
mreligion 
Yellowpages 
sport 
constellation 
shopping 
name 
game 
directory 
literature 
Word 
tour 
furnish 
Lottery 
tftnews 
lyrics 
News 
digital 
car 
dir 
Edu 
Finance 
