sysloglinux

『壹』 如何將linux主機設置成syslog伺服器

鳥哥在書中介紹了這樣的一種環境。 辦公室內有10台Linux主機，每一台負責一個網路服務。為了無需登錄每台主機去查看登錄文件，需要設置一台syslog伺服器，其他主機的登錄文件都發給它。這樣做的話，只需要登錄到syslog伺服器上就能查看所有主機的登錄文件。 RedHat上的設置方法，鳥哥已經介紹了。 【伺服器端】step 1：查看伺服器是否開啟了UDP 514埠 grep '514' /etc/services step 2：修改syslogd的啟動設置文件/etc/sysconfig/syslog 將SYSLOGD_OPTIONS="-m 0"修改成SYSLOGD_OPTIONS="-m 0 -r" step 3：重啟syslogd服務 /etc/init.d/syslog restart 重啟後，你會發現UDP 514埠已經打開。 Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name udp 0 0 0.0.0.0:514 0.0.0.0:* 5628/syslogd 【客戶端】step 1：在/etc/syslog.conf中，添加下行。 user.* @192.168.0.Y # syslog伺服器的IP地址 在Ubuntu中配置syslogd伺服器的方法類似。 step 1：查看伺服器是否開啟了UDP 514埠，有下面一行說明埠514被打開，沒有需要加入 # grep '514' /etc/services 184:shell 514/tcp cmd # no passwords used 185:syslog 514/udp step 2： 修改/etc/init.d/sysklogd，將SYSLOGD=""修改成SYSLOGD=" -r" step 3： 修改/etc/default/syslogd，將SYSLOGD=""修改成SYSLOGD=" -r" step 4： 重啟服務 /etc/init.d/sysklogd restart step 5： 驗證 在/var/log/messages中找到 May 1 23:31:59 flagonxia-desktop syslogd 1.5.0#5ubuntu3: restart (remote reception) # netstat -tlunp 得到syslogd服務正在監聽埠514 udp 0 0 0.0.0.0:514 0.0.0.0:* 3912/syslogd step 6： 假設syslog伺服器的IP地址：192.168.1.25，在其他主機上的/etc/syslog.conf中加入 *.* @192.168.1.25 註：/etc/syslog.conf文件的解析日誌文件按/etc/syslog.conf 配置文件中的描述進行組織。下圖是/etc/syslog.conf 文件的內容：[root@localhost ~]# cat /etc/syslog.conf # Log all kernel messages to the console. # Logging much else clutters up the screen. #kern.* /dev/console # Log anything (except mail) of level info or higher. # Don't log private authentication messages! *.info;mail.none;authpriv.none;cron.none /var/log/messages # The authpriv file has restricted access. authpriv.* /var/log/secure # Log all the mail messages in one place. mail.* -/var/log/maillog # Log cron stuff cron.* /var/log/cron # Everybody gets emergency messages *.emerg *# Save news errors of level crit and higher in a special file. uucp,news.crit /var/log/spooler # Save boot messages also to boot.log local7.* /var/log/boot.log syslog.conf 行的基本語法是： [ 消息類型][ 處理方案] 注意：中間的分隔符必須是Tab 字元！消息類型是由" 消息來源" 和" 緊急程度" 構成，中間用點號連接。例如上圖中，news.crit 表示來自news 的「 關鍵」 狀況。在這里，news是消息來源，crit 代表關鍵狀況。通配符* 可以代表一切消息來源。 說明：第一條語句*.info ，將info 級以上（notice,warning,err,crit,alert 與emerg ）的所有消息發送到相應日誌文件。日誌文件類別（按重要程度分類）日誌文件可以分成八大類，下面按重要性從大到下列出：emerg emergency ，緊急alert 警報crit critical ，關鍵errerror ，錯誤warning 警告notice 通知info 信息debug 調試簡單列一下消息來源auth 認證系統，如login 或su ，即詢問用戶名和口令cron 系統執行定時任務時發出的信息daemon 某些系統的守護程序的 syslog ，如由in.ftpd 產生的log kern 內核的信息lpr 列印機的信息mail 處理郵件的守護進程發出的信息mark 定時發送消息的時標程序news 新聞組的守護進程的信息user 本地用戶的應用程序的信息uucp uucp 子系統的信息* 表示所有可能的信息來源處理方案" 處理方案" 選項可以對日誌進行處理。可以把它存入硬碟，轉發到另一台機器或顯示在管理員的終端上。處理方案一覽：文件名 寫入某個文件，要注意絕對路徑。 @ 主機名 轉發給另外一台主機的syslogd 程序。@IP 地址 同上，只是用IP 地址標識而已。/dev/console 發送到本地機器屏幕上。* 發送到所有用戶的終端上。 | 程序 通過管道轉發給某個程序。例如：kern.emerg /dev/console( 一旦發生內核的緊急狀況，立刻把信息顯示在控制台上) 說明： 如果想修改syslogd 的記錄文件，首先你必須殺掉syslogd 進程，在修改完畢後再啟動syslogd 。攻擊者進入系統後通常立刻修改系統日誌，因此作為網管你應該用一台機器專門處理日誌信息，其他機器的日誌自動轉發到它上面，這樣日誌信息一旦產生就立刻被轉移，這樣就可以正確記錄攻擊者的行為。

『貳』 linux下怎麼發送syslog到相應的伺服器

設置配置文件 /etc/syslog.conf，指向伺服器的地址或域名；

遠程伺服器：格式是「@address」，「@」表示進行遠程記錄，將日誌發送到遠程的日誌伺服器，日誌伺服器的埠是UDP514，address可以是IP地址，也可以是域名

『叄』 用linux自帶的syslog怎麼實現日誌代理

1 syslogd的配置文件
syslogd的配置文件/etc/syslog.conf規定了系統中需要監視的事件和相應的日誌的保存位置
cat /etc/syslog.conf
# Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.* /dev/console
# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none /var/log/messages #除了mail/news/authpriv/cron以外,將info或更高級別的消息送到/var/log/messages,其中*是通配符,代表任何設備;none表示不對任何級別的信息進行記錄
# The authpriv file has restricted access.
authpriv.* /var/log/secure #將authpirv設備的任何級別的信息記錄到/var/log/secure文件中,這主要是一些和認證,許可權使用相關的信息.
# Log all the mail messages in one place.
mail.* -/var/log/maillog #將mail設備中的任何級別的信息記錄到/var/log/maillog文件中, 這主要是和電子郵件相關的信息.
# Log cron stuff
cron.* /var/log/cron #將cron設備中的任何級別的信息記錄到/var/log/cron文件中, 這主要是和系統中定期執行的任務相關的信息.

『肆』 Linux裡面日誌放在哪個文件夾下

大部分Linux發行版默認的日誌守護進程為 syslog，位於 /etc/syslog 或 /etc/syslogd，默認配置文件為 /etc/syslog.conf，任何希望生成日誌的程序都可以向 syslog 發送信息。而Fedora、Ubuntu，、rhel6、centos6以上版本默認的日誌系統都是rsyslog，rsyslog是syslog的多線程增強版。Linux學習的話《Linux就該這么學》參考下

『伍』 linux下的syslog日誌如何去看

1、首先首先打開系統的終端。

『陸』 linux syslog伺服器如何接收solaris日誌

可能是因為你網路的安全設置問題，遠程日誌伺服器的設置沒錯，只要打開-r參數就可以接收日誌了，你要確保自己的伺服器都與日誌伺服器能夠在網路段內能夠相互連通，網路設備有沒有設防火牆呢？如果沒有的話，應該是solaris系統的安全設置問題，還真找不出什麼問題來。

『柒』 linux系統日誌文件的位置命令

Linux常見的日誌文件詳述如下
1、/var/log/boot.log（自檢過程）
2、/var/log/cron （crontab守護進程crond所派生的子進程的動作）
3、/var/log/maillog （發送到系統或從系統發出的電子郵件的活動）
4、/var/log/syslog （它只記錄警告信息，常常是系統出問題的信息，所以更應該關注該文件）
要讓系統生成syslog日誌文件，
在/etc/syslog.conf文件中加上：*.warning /var/log/syslog
該日誌文件能記錄當用戶登錄時login記錄下的錯誤口令、Sendmail的問題、su命令執行失敗等信息
5、/var/run/utmp
該日誌文件需要使用lastlog命令查看
6、/var/log/wtmp
（該日誌文件永久記錄每個用戶登錄、注銷及系統的啟動、停機的事件）
last命令就通過訪問這個文件獲得這些信息
7、/var/run/utmp
（該日誌文件記錄有關當前登錄的每個用戶的信息） 《Linux就該這么學》 一起學習linux
8、/var/log/xferlog
（該日誌文件記錄FTP會話，可以顯示出用戶向FTP伺服器或從伺服器拷貝了什麼文件）