sysloglinux

‘壹’ 如何将linux主机设置成syslog服务器

鸟哥在书中介绍了这样的一种环境。 办公室内有10台Linux主机，每一台负责一个网络服务。为了无需登录每台主机去查看登录文件，需要设置一台syslog服务器，其他主机的登录文件都发给它。这样做的话，只需要登录到syslog服务器上就能查看所有主机的登录文件。 RedHat上的设置方法，鸟哥已经介绍了。 【服务器端】step 1：查看服务器是否开启了UDP 514端口 grep '514' /etc/services step 2：修改syslogd的启动设置文件/etc/sysconfig/syslog 将SYSLOGD_OPTIONS="-m 0"修改成SYSLOGD_OPTIONS="-m 0 -r" step 3：重启syslogd服务 /etc/init.d/syslog restart 重启后，你会发现UDP 514端口已经打开。 Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name udp 0 0 0.0.0.0:514 0.0.0.0:* 5628/syslogd 【客户端】step 1：在/etc/syslog.conf中，添加下行。 user.* @192.168.0.Y # syslog服务器的IP地址 在Ubuntu中配置syslogd服务器的方法类似。 step 1：查看服务器是否开启了UDP 514端口，有下面一行说明端口514被打开，没有需要加入 # grep '514' /etc/services 184:shell 514/tcp cmd # no passwords used 185:syslog 514/udp step 2： 修改/etc/init.d/sysklogd，将SYSLOGD=""修改成SYSLOGD=" -r" step 3： 修改/etc/default/syslogd，将SYSLOGD=""修改成SYSLOGD=" -r" step 4： 重启服务 /etc/init.d/sysklogd restart step 5： 验证 在/var/log/messages中找到 May 1 23:31:59 flagonxia-desktop syslogd 1.5.0#5ubuntu3: restart (remote reception) # netstat -tlunp 得到syslogd服务正在监听端口514 udp 0 0 0.0.0.0:514 0.0.0.0:* 3912/syslogd step 6： 假设syslog服务器的IP地址：192.168.1.25，在其他主机上的/etc/syslog.conf中加入 *.* @192.168.1.25 注：/etc/syslog.conf文件的解析日志文件按/etc/syslog.conf 配置文件中的描述进行组织。下图是/etc/syslog.conf 文件的内容：[root@localhost ~]# cat /etc/syslog.conf # Log all kernel messages to the console. # Logging much else clutters up the screen. #kern.* /dev/console # Log anything (except mail) of level info or higher. # Don't log private authentication messages! *.info;mail.none;authpriv.none;cron.none /var/log/messages # The authpriv file has restricted access. authpriv.* /var/log/secure # Log all the mail messages in one place. mail.* -/var/log/maillog # Log cron stuff cron.* /var/log/cron # Everybody gets emergency messages *.emerg *# Save news errors of level crit and higher in a special file. uucp,news.crit /var/log/spooler # Save boot messages also to boot.log local7.* /var/log/boot.log syslog.conf 行的基本语法是： [ 消息类型][ 处理方案] 注意：中间的分隔符必须是Tab 字符！消息类型是由" 消息来源" 和" 紧急程度" 构成，中间用点号连接。例如上图中，news.crit 表示来自news 的“ 关键” 状况。在这里，news是消息来源，crit 代表关键状况。通配符* 可以代表一切消息来源。 说明：第一条语句*.info ，将info 级以上（notice,warning,err,crit,alert 与emerg ）的所有消息发送到相应日志文件。日志文件类别（按重要程度分类）日志文件可以分成八大类，下面按重要性从大到下列出：emerg emergency ，紧急alert 警报crit critical ，关键errerror ，错误warning 警告notice 通知info 信息debug 调试简单列一下消息来源auth 认证系统，如login 或su ，即询问用户名和口令cron 系统执行定时任务时发出的信息daemon 某些系统的守护程序的 syslog ，如由in.ftpd 产生的log kern 内核的信息lpr 打印机的信息mail 处理邮件的守护进程发出的信息mark 定时发送消息的时标程序news 新闻组的守护进程的信息user 本地用户的应用程序的信息uucp uucp 子系统的信息* 表示所有可能的信息来源处理方案" 处理方案" 选项可以对日志进行处理。可以把它存入硬盘，转发到另一台机器或显示在管理员的终端上。处理方案一览：文件名 写入某个文件，要注意绝对路径。 @ 主机名 转发给另外一台主机的syslogd 程序。@IP 地址 同上，只是用IP 地址标识而已。/dev/console 发送到本地机器屏幕上。* 发送到所有用户的终端上。 | 程序 通过管道转发给某个程序。例如：kern.emerg /dev/console( 一旦发生内核的紧急状况，立刻把信息显示在控制台上) 说明： 如果想修改syslogd 的记录文件，首先你必须杀掉syslogd 进程，在修改完毕后再启动syslogd 。攻击者进入系统后通常立刻修改系统日志，因此作为网管你应该用一台机器专门处理日志信息，其他机器的日志自动转发到它上面，这样日志信息一旦产生就立刻被转移，这样就可以正确记录攻击者的行为。

‘贰’ linux下怎么发送syslog到相应的服务器

设置配置文件 /etc/syslog.conf，指向服务器的地址或域名；

远程服务器：格式是“@address”，“@”表示进行远程记录，将日志发送到远程的日志服务器，日志服务器的端口是UDP514，address可以是IP地址，也可以是域名

‘叁’ 用linux自带的syslog怎么实现日志代理

1 syslogd的配置文件
syslogd的配置文件/etc/syslog.conf规定了系统中需要监视的事件和相应的日志的保存位置
cat /etc/syslog.conf
# Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.* /dev/console
# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none /var/log/messages #除了mail/news/authpriv/cron以外,将info或更高级别的消息送到/var/log/messages,其中*是通配符,代表任何设备;none表示不对任何级别的信息进行记录
# The authpriv file has restricted access.
authpriv.* /var/log/secure #将authpirv设备的任何级别的信息记录到/var/log/secure文件中,这主要是一些和认证,权限使用相关的信息.
# Log all the mail messages in one place.
mail.* -/var/log/maillog #将mail设备中的任何级别的信息记录到/var/log/maillog文件中, 这主要是和电子邮件相关的信息.
# Log cron stuff
cron.* /var/log/cron #将cron设备中的任何级别的信息记录到/var/log/cron文件中, 这主要是和系统中定期执行的任务相关的信息.

‘肆’ Linux里面日志放在哪个文件夹下

大部分Linux发行版默认的日志守护进程为 syslog，位于 /etc/syslog 或 /etc/syslogd，默认配置文件为 /etc/syslog.conf，任何希望生成日志的程序都可以向 syslog 发送信息。而Fedora、Ubuntu，、rhel6、centos6以上版本默认的日志系统都是rsyslog，rsyslog是syslog的多线程增强版。Linux学习的话《Linux就该这么学》参考下

‘伍’ linux下的syslog日志如何去看

1、首先首先打开系统的终端。

‘陆’ linux syslog服务器如何接收solaris日志

可能是因为你网络的安全设置问题，远程日志服务器的设置没错，只要打开-r参数就可以接收日志了，你要确保自己的服务器都与日志服务器能够在网络段内能够相互连通，网络设备有没有设防火墙呢？如果没有的话，应该是solaris系统的安全设置问题，还真找不出什么问题来。

‘柒’ linux系统日志文件的位置命令

Linux常见的日志文件详述如下
1、/var/log/boot.log（自检过程）
2、/var/log/cron （crontab守护进程crond所派生的子进程的动作）
3、/var/log/maillog （发送到系统或从系统发出的电子邮件的活动）
4、/var/log/syslog （它只记录警告信息，常常是系统出问题的信息，所以更应该关注该文件）
要让系统生成syslog日志文件，
在/etc/syslog.conf文件中加上：*.warning /var/log/syslog
该日志文件能记录当用户登录时login记录下的错误口令、Sendmail的问题、su命令执行失败等信息
5、/var/run/utmp
该日志文件需要使用lastlog命令查看
6、/var/log/wtmp
（该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件）
last命令就通过访问这个文件获得这些信息
7、/var/run/utmp
（该日志文件记录有关当前登录的每个用户的信息） 《Linux就该这么学》 一起学习linux
8、/var/log/xferlog
（该日志文件记录FTP会话，可以显示出用户向FTP服务器或从服务器拷贝了什么文件）