文档介绍:Linux日志管理篇操作系统的日志主要具有审计与监测的功能,通过对日志信息的分析,可以检查错谋发生的原因,监测追踪入侵者及受到攻击时留下的痕迹,其至还能实时的进行系统状态的监控。有效利用日志信息并对其进行分析与实吋的监控管理,对于系统的安全性具有极为重要的作用。对于日志信息的管理通常采用两种方法,-种方法是不同服务器的日志信息都存放在各自系统内,系统管理员对各服务器进行分散管理。另一种方法则是使用日志主机系统,这是一个从其他主机收集日志,并将它们存放在同一个地方的系统,很容易使來自多个主机的日志条目关联起來,对其进行统一管理、分析,其至配合自动化工具进行实时的监控,有效提高管理的效率。第一种方法往往是大多数系统管理员的常用的方法,这种传统的管理方法在服务器数量较少时还能勉强应付,但在处理多主机状况时却并非一种有效的方法。本文主要讲述二种口志管理方法,探寻一种提高系统管理效率的途径。一、日志主机系统的部署日志主机系统包括日志主机及各主机系统两个部分,其中日志主机相当丁•服务器端,而各主机系统相当于客户端,将H志信息实时的传送到H志主机上来。,日志非常有用,但大量的日志又很麻烦。当一些事件运行错误时,日志可以对故障排除起到至关重要的作川,特別是在安全性相关问题上。但是如果攻击者危害到你的主机,口志将会告诉你,对于主机来说这很有川;你需要给数据屮心发信息。保护口志非常車要,一个中央日志服务器会更容易管理、分析和查找它们。针对这一点,我将向你展示如何把多个主机的系统口志集屮收集到一个主机上来管理,即Linux上的屮央系统口志服务器。首先,所有集中的系统日志服务器都应该建成一个女全和硬化的主机。在主机上没有一点关于保护和集屮化你们口志方面。其次,你怎样能从你的主机上获得口志呢?让我们开始安装屮央系统口志服务器。我将举例说明如果使川rSyslog,实际的标准Linux系统日志。Ubuntu和红帽常使用它,并且通过文件/etc/。文件屮包含许多指定的特殊系统口志:有的是控制台方面的,有的是文件方面或其它主机的。首先,我们需要载入合适的TCP和UDP插件以支持接收系统口志。:$modloadimtcpSmodloadimudp$1nputTCPServerRun10514$UDPServerRun514载入的这两个模块能支持监听TCP和UDP的端口,并且指定哪个端口来接受事件,在这种情况下,使用TCP的10514端口和UDP的514端口。你需要确认一下木地防火墙(在你的主机和屮央系统口志服务器之间的防火墙)下面我们需要指定一些规则来告诉rSyslog在哪放输入事件。如果你不添加任何规则,输入事件将按照木地的规则进行处理,并且与木地主机的爭件交织在一起。我们需要在上而添加节之后和木地处理系统口志之前来正确的指定这个规则,例如:if$fromhost~ipisequal''then/var/log/&〜.。&~这个符号是非常重要的,因为它告诉rSyslog将停止处理消息。如果你把它忘写了,消息将越过下一个规则,并H继续处理。在这一规则屮还有其他的变量。例如:if$fromhost~ipstartswith'.'then/var/log/&〜.*替代了以这个为开始的所有IP地址,写入到/var/log/。你还可以看到一些其它的过滤。你将需耍重启这个rsyslog服务来激活我们所做的新的配豐:$sudoservicersyslogrestart现在,对于发送方的主机,•些更改,在文件的头部,添加下而这行:*.*@***@:10514这是发送的所有事件,來自于所有源代码和所有重要级别(用*.*),。你可是用你所在环境的地址來替换这个TP地址。要启用此配置,你将需要重启主机上的rSyslogo你可以通过SSL/TLS更进一步地发送你的系统日志。如果你在互联网上或其它网络间传输系统日志,这也没什么坏处,你可能会发现这个的简单说明。现在,如果给你的配置管理系统(如果不使用这个,你可以试一试Puppet或Cfengine工具)添加这个配置,然后,您可以川适当的系统口志来有效地配置每台主机,以确保你的日志将被发送到中央系统日志服务器。2•日志主机的部署H