⑴ 1023.990天:linux CentOS 7搭建日誌伺服器
#每日三件事,第990天#
《中華人民共和國網路安全法》第二十一條第一款第三項規定網路運營者應採取監測、記錄網路運行狀態、網路安全事件的技術措施,並按照規定留存相關的網路日誌不少於六個月。在GB/T22239《網路安全等級保護基本要求》的安全計算環境中,對安全審計也有明確的要求。
在落實法律義務和責任,開展網路安全等級保護工作的過程中,日誌伺服器成了必不可少的一項。商用的日誌審計系統固然好,但利用CentOS7也可以做一個簡單的日誌伺服器,收集網路中其他設備的日誌信息。
日誌伺服器端的配置:
yum install syslog,其實CentOS7默認就已經安裝了rsyslog服務。系統會自動檢測,並不會重新安裝一遍syslog服務。
vim /etc/rsyslog.conf,找到#Providers TCP syslog reception這一行,把下面兩行前面的#去掉即可:
#Providers TCP syslog reception
$ModLoad imtcp
$InputTCCPServerRun 514
======分割線 ======
在/etc/rsyslog.d/創建一個名為client_ip.conf的文件,每個日誌發送客戶端創建一個文件。我的實驗環境中有一個ip為192.168.1.1的客戶端,因此創建一個192.168.1.1.conf的文件。
vim /etc/rsyslog.d/192.168.1.1.conf
:fromhost-ip,isequal, "192.168.1.1" /var/log/client/192.168.1.1.log
systemctl restart rsyslog
重啟之後一定要檢查一下,使用命令:systemctl status rsyslog,並且保證rsyslog服務能夠在開機時自動啟動。
客戶端的配置如下:
vim /etc/rsyslog.conf,去掉#Providers TCP syslog reception下面兩行的注釋:
#Providers TCP syslog reception
$ModLoad imtcp
$InputTCCPServerRun 514
在最後一行添加:
*.*. @@192.168.1.10:514
其中192.168.1.10是日誌伺服器的IP地址。
systemctl restart rsyslog,並查看rsyslog的狀態,保證服務在開機時自動啟動。
此時在日誌伺服器上就可以接收到客戶端發來的日誌信息了。
⑵ Loopback介面
此介面是應用最為廣泛的一種邏輯虛擬介面(邏輯介面是指能夠實現數據交換功能,但是物理上不存在、需要通過配置建立的介面。),幾乎在每台路由器上都會使用Loopback介面一旦被創建,其 物理狀態和鏈路協議狀態永遠是Up,即使該介面上沒有配置IP地址。因此Loopback 介面具有特殊的用途。
一、提高可靠性
1、在IP地址借用中的應用
當某介面不是長期使用IP地址時,為了節省IP地址,可以配置該介面借用其他介面的IP地址。通常配置為借用Loopback介面的地址,以保持介面的穩定性。
2、在Router ID中的應用
一些動態路由協議要求路由器必須有Router ID,它是一台路由器在自治系統中的唯一標識。
例如,OSPF和BGP在沒有手工配置Router ID時,系統需要從本地介面的IP地址中選一個最大的IP地址作為Router ID。如果選擇的是物理介面的IP地址,當這個物理介面狀態變為Down時,系統也不會重新選擇Router ID,除非這個被選擇的IP地址被刪除。
因此建議使用Loopback介面的IP地址作為路由器的Router ID。因為Loopback介面穩定,它一直都處於Up狀態。
3、在BGP中的應用
為了使BGP會話不受物理介面故障的影響,可將發送BGP報文的源介面配置成Loopback介面。
在使用Loopback介面作為BGP報文的源介面時,必須注意以下事項:
確認BGP對等體的Loopback介面的地址是可達的。
如果是EBGP連接,還要允許EBGP通過非直連建立鄰居關系。
4、在MPLS LDP中的應用
在MPLS LDP中,為了保持網路的穩定性,通常使用Loopback介面的IP地址作為傳輸地址。這個Loopback介面的IP地址可能是公網地址。
5、在VPN中的應用
在L2TP中,建議用戶指定LAC端發起隧道請求時使用的隧道源介面類型是Loopback介面。這樣是為了當LAC訪問LNS時,提高LAC與LNS通信的可靠性。
在配置GRE和IPv6 over IPv4隧道時,需要創建Tunnel介面。同時可配置該隧道介面的源IP地址或源介面。即,指定該隧道的承載協議的源IP地址或源介面。此時一般選用的也是Loopback介面的IP地址或Loopback介面。
二、對信息分類
1、在SNMP中的應用
如果使用簡單網路管理協議SNMP(Simple Network Management Protocol),可以設置發送trap報文時的源IP地址是Loopback介面的IP地址。
為了保障伺服器的安全,SNMP trap將Loopback介面的IP地址作為源IP地址,而不是出介面的IP地址。這樣可以使用過濾來保護SNMP的管理系統。系統只允許來自Loopback介面IP地址的報文訪問SNMP埠,從而使得讀寫trap信息變得簡單。
2、在NTP中的應用
網路時間協議NTP(Network Time Protocol)可以使所有設備的時間取得同步。NTP可以把Loopback介面的IP地址作為所有從本路由器發出的NTP報文的源地址。
出於對NTP的安全考慮,NTP將Loopback介面的IP地址(而不是出介面的IP地址)作為源地址。系統只允許Loopback介面地址的報文訪問NTP埠。這樣可以使用過濾來保護NTP系統
3、在記錄信息方面的應用
輸出網路流量記錄時,可以配置網路流量輸出時的源IP地址是Loopback介面的IP地址。
這是從伺服器的安全形度考慮的。這樣可以使用過濾來保護網路流量收集,因為只允許Loopback介面地址的報文訪問指定的埠。
4、在安全方面的應用
在用戶日誌伺服器端,通過識別日誌的源IP地址,可以迅速定位日誌信息的來源。建議配置Loopback地址作為日誌報文的源IP地址。
5、在HWTACACS中的應用
配置HWTACACS,使從該路由器始發的報文使用的源地址是Loopback地址。這樣可以使用過濾來保護HWTACACS伺服器。
因為這樣只允許從Loopback介面的地址發送的報文訪問HWTACACS伺服器,從而使讀寫日誌變得簡單。HWTACACS日誌記錄中只有Loopback介面的地址,而沒有出介面的地址。
6、在RADIUS用戶驗證中的應用
配置RADIUS伺服器時,使從該路由器始發的報文使用的源IP地址是Loopback介面的IP地址。
和在HWTACACS中的應用類似,這樣配置是從伺服器的安全形度考慮的。它可以使用過濾來保護RADIUS伺服器和代理。這樣只允許Loopback介面地址的報文訪問RADIUS伺服器的埠,從而使讀寫日誌變得簡單。RADIUS日誌記錄中只有Loopback介面的地址,而沒有出介面的地址。
⑶ linux日誌文件的管理、備份及日誌伺服器的搭建
日誌文件存放目錄: /var/log
[root@xing log]# cd /var/log
[root@xing log]# ls
messages:系統日誌
secure:登錄日誌
————————————————
日誌管理服務文件: vim /etc/rsyslog.conf
日誌記錄的日誌級別:最不嚴重 -> 最嚴重
debug, info, notice, warning, warn (same as warning), err, error (same
as err), crit, alert, emerg, panic (same as emerg)
測試提示:
[ming@xing etc]$ logger -p authpriv.emerg "==mingeror=="
[ming@xing etc]$
Message from syslogd@xing at Jul 18 11:00:41 ...
root: ==mingeror==
登錄日誌的錯誤信息同步寫入 「/var/log/secure 」 文件中
————————————————
日誌的異地備份
日誌的異地備份至關重要。防止別人拿到你的root許可權;用命令:echo "" > /var/log/secure 直接清空你的登錄日誌。
配置需備份日誌的客戶機(172.168.0.254):
[root@xing etc]# vim rsyslog.conf
————————————————
配置文件修改:
#*.* @@remote-host:514
authpriv.* @@172.168.0.1:514
————————————————
[root@xing etc]# setenforce 0 //執行setenforce 0 表示 臨時關閉 selinux防火牆。
[root@xing etc]# getenforce
Permissive
[root@xing etc]# service rsyslog restart
————————————————
配置日誌記錄伺服器(172.168.0.1):
[root@xing etc]# vim rsyslog.conf
————————————————
開啟接收埠模塊
# Provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 514
———
配置備份的數據源及日誌備份存放文件
:fromhost-ip,isequal,「172.168.0.254」 /var/log/client/172.168.0.254.log
————————————————
[root@xing etc]# service rsyslog restart
———————
ss -antpl | grep 514
————————————————
注意:配置成功需關閉雙方伺服器的防火牆,或者修改防火牆配置。
⑷ 如何配置路由器日誌伺服器
市面上的路由器品牌很多。以飛魚星路由器為例進行說明:
具體配置步驟:
(1)開啟系統日誌伺服器功能
點開《路由器的系統狀態》系統日誌,啟用「系統日誌伺服器」,並啟用「日誌伺服器」,輸入對應日誌伺服器的IP地址。
啟用系統日誌服務,便可在《路由器的系統狀態》系統日誌中查看路由器的常見系統更改。
以內網192.168.1.3的計算機作為日誌伺服器,則需要在這台計算機上安裝VE日誌分析軟體,之後便可在此PC機上看見內網用戶所瀏覽網址。
(2)安裝資料庫
下載MYSQL資料庫,官方下載地址:http://www.mysql.com/downloads/
安裝資料庫,設置密碼、埠號。
(3)運行「飛魚星日誌系統(VLS)」
「飛魚星日誌系統(VLS)」及具體使用方法請到http://www.adslr.com/down/文件下載中心,找到設備對應型號進行下載,下載後解壓運行Volans log system.exe,輸入資料庫的密碼、埠號(伺服器IP、用戶名不用修改),即可運行,並自動連接獲取日誌。
用戶如果是初次使用飛魚星路由器產品,建議用戶閱讀一下說明書。
⑸ 一條伺服器日誌中的三個不同ip地址分別是什麼
從這個日誌中無法判斷,你可以在web伺服器的配置中去查看 日誌格式 的配置。
以nginx 為例:
日誌格式
log_format upstreaminfo '$the_real_ip - [$the_real_ip] - $remote_user [$time_local] "$request" $status $body_bytes_sent "$http_referer" "$http_user_agent" $request_length $request_time [$proxy_upstream_name] [$proxy_alternative_upstream_name] $upstream_addr $upstream_response_length $upstream_response_time $upstream_status $req_id';
得到以下日誌
58.247.1xx.xx - [58.247.1xx.xx] - - [23/May/2020:05:23:30 +0000] "GET /v3/settings/ui-pl HTTP/2.0" 200 304 "https://demo.cnrancher.com/p/c-nhq2h:p-mhsz7/workload/statefulset:cattle-prometheus:alertmanager-cluster-alerting" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_4) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.138 Safari/537.36" 135 0.006 [cattle-system-ingress--80] [] 10.42.0.229:80 501 0.004 200
⑹ checkpoint怎麼設置syslog server
通過Cisco路由器的Syslog服務轉發系統日誌到採集伺服器,具體配置方法如下:
device#conf t
device(config)#logging on
device(config)#logging IP //日誌伺服器的IP地址
device(config)#logging trap critical //日誌記錄級別,可用"?"查看詳細內容
device(config)#logging source-interface f0/1 //日誌發出用的源IP地址(f0/1為發出日誌的埠,使用哪個埠由實際情況決定)
device(config)#service timestamps log datetime localtime //日誌記錄的時間戳設置
檢驗
device#sh logging
保存配置
device# runningconfigure startingconfigure
⑺ windows日誌怎麼發送到日誌伺服器
收集windows日誌到日誌伺服器的方法
1、下載並解壓縮文檔evtsys_4.4.3_64-bit
2、復制相關文件(exe和dll文件)到c:\windows\system32目錄
3、雙擊exe文件,生成cfg文件
4、然後在cmd下執行:c:\windows\system32>
evtsys.exe
-i
-h
10.1.1.2
-p
514
這個是標准格式,亦可精簡為:
參數說明:
i是安裝成window服務;
h是syslog伺服器地址;10.1.1.2
為syslog日誌伺服器
p是syslog伺服器的接收埠。
默認下,埠可以省略,默認是514.
啟動evtsys服務,命令是:
5,此時服務出現eventlog
to
syslog服務,通過syslog伺服器也能夠查詢到系統日誌,表示安裝成功。
⑻ 怎麼搭建Linux syslog伺服器抓思科交換機的日誌
將Cisco設備的日誌發往syslog伺服器,如下操作:
device#conf t
device(config)#logging on
device(config)#logging 172.16.86.102
device(config)#logging trap errors //日誌記錄級別,可用"?"查看詳細內容
device(config)#logging source-interface loopback0 //日誌發出用的源IP地址
device(config)#service timestamps log datetime localtime //日誌記錄的時間戳設置,可根據需要具體配置檢驗
device#sh logging
設置完成後,最好設置一下當前交換機或路由器的時鍾。這樣在日誌伺服器上就可以看到何時產生的日誌。
switch#clock 9:48:00 21 Feb 2011
logging trap level //指定日誌消息的級別
(0:緊急(Emergencies)
⑼ windows日誌怎麼發送到日誌伺服器
收集windows日誌到日誌伺服器的方法
1、下載並解壓縮文檔Evtsys_4.4.3_64-Bit
2、復制相關文件(exe和dll文件)到C:\Windows\System32目錄
3、雙擊exe文件,生成cfg文件
4、然後在CMD下執行:C:\Windows\System32>
evtsys.exe -i -h 10.1.1.2 -p 514
這個是標准格式,亦可精簡為:
參數說明:
i是安裝成Window服務;
h是syslog伺服器地址;10.1.1.2 為syslog日誌伺服器
p是syslog伺服器的接收埠。
默認下,埠可以省略,默認是514.
啟動Evtsys服務,命令是:
5,此時服務出現EVentlog to syslog服務,通過syslog伺服器也能夠查詢到系統日誌,表示安裝成功。
⑽ 如何搭建syslog日誌伺服器
首先我們知道日誌是什麼,日誌毫無疑問就跟我們寫日記一樣記錄我們每天做的一些事情,那麼日誌對於一台伺服器而言是至關重要的,比如說我們搭建服務的時候,服務起不來也沒提示錯誤信息,那麼這個時候就可以查看日誌來排錯了,還記錄了伺服器的運行情況已經入侵記錄等等... ,那麼我們知道一台伺服器的日誌默認是存放在本地的對於linux而言日誌一般存放於/var/log/目錄下,比如說某系統管理員管理著幾十甚至上百台伺服器的時候,默認日誌放在每台伺服器的本地,當我們每天要去看日誌的時候一台一台的看日誌是不是要郁悶死了. 沒關系在linux系統上提供了一個syslogd這樣的一個服務為我們提供日誌伺服器,他可以將多台主機和網路設備等等的日誌存到日誌伺服器上,這樣就大大減少了管理員的工作量,下面將在一台默認裝有rhel5.x的系統上搭建一台日誌伺服器.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
系統環境:默認安裝有rhel5.8的系統
主機 角色 IP地址
server1 日誌伺服器 10.0.0.1
server2 10.0.0.2
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
實際上日誌伺服器的配置非常之簡單幾條命令就搞定了
一.配置日誌伺服器為網路中其他主機及其網路設備等等提供日誌存儲服務,也就是配置server1
1. 在server1上編輯/etc/sysconfig/syslog文件修改如下
#vim /etc/sysconfig/syslog ## 只修改SYSLOGD_OPTINOS這項,如下
SYSLOGD_OPTIONS="-m 0 -r"
2 .重新啟動syslog
#service syslog restart
3.配置防火牆,syslog傳送日誌的埠是UDP的514埠防火牆在默認的情況下是阻止所有的,這里就 直接把防火牆關閉了,防火牆的配置就不介紹了
#service iptables stop
#chkconfig iptables off
ok!到這里伺服器的配置基本就結束了.
二.配置server2讓其將日誌發送到日誌伺服器上去,我們知道windows跟交換機路由器都是有日誌產 生的,它們的日誌也是可以存儲到日誌伺服器上去的,這里就只介紹linux主機的
1.配置server2上的/etc/syslog.conf定義日誌的類型以及日誌的級別和日誌存放的位置,這里就只簡 單的介紹下大體的配置思路,
#vim /etc/syslog.conf
*.* @10.0.0.1
上面的配置表示所有的日誌類型.所有的日誌的級別的日誌都將存放在10.0.0.1這台日誌伺服器上
2,重啟syslog
#service syslog restart
三.驗證
1.在server2上建一個redhat的用戶,然後到server1上的/var/log/secure文件或者/var/log/messages文件 查看日誌
#cat /var/log/secure
Jun 8 00:58:05 10.0.0.2 useradd[15463]: new group: name=redhat, GID=500
Jun 8 00:58:05 10.0.0.2 useradd[15463]: new user: name=redhat, UID=500, GID=500, home=/home/redhat, shell=/bin/bash
可以看到10.0.0.2這台主機new了一個redhat的用戶