如何理解強(qiáng)大而安全的日志處理系統(tǒng)syslog，相信很多沒(méi)有經(jīng)驗(yàn)的人對(duì)此束手無(wú)策，為此本文總結(jié)了問(wèn)題出現(xiàn)的原因和解決方法，通過(guò)這篇文章希望你能解決這個(gè)問(wèn)題。

創(chuàng)新互聯(lián)公司是一家專業(yè)提供黑龍江企業(yè)網(wǎng)站建設(shè),專注與成都網(wǎng)站制作、成都做網(wǎng)站、HTML5建站、小程序制作等業(yè)務(wù)。10年已為黑龍江眾多企業(yè)、政府機(jī)構(gòu)等服務(wù)。創(chuàng)新互聯(lián)專業(yè)的建站公司優(yōu)惠進(jìn)行中。

Ryslog是一個(gè)強(qiáng)大而安全的日志處理系統(tǒng)。Rsylog通過(guò)多個(gè)物理或虛擬服務(wù)器在網(wǎng)絡(luò)上接收日志，并監(jiān)視不同服務(wù)的健康狀況。使用Rsyslog，您可以從集中位置監(jiān)視其他服務(wù)器、網(wǎng)絡(luò)設(shè)備和遠(yuǎn)程應(yīng)用程序的日志。

簡(jiǎn)介

日志對(duì)于分析和排除 Linux中的任何問(wèn)題非常有用。默認(rèn)情況下，所有日志文件都位于Linux的/var/log目錄中。日志文件有幾種類型，包括cron、內(nèi)核、用戶、安全性，這些文件中的大多數(shù)都由Rsyslog服務(wù)控制。

Ryslog是一個(gè)強(qiáng)大而安全的日志處理系統(tǒng)。Rsylog通過(guò)多個(gè)物理或虛擬服務(wù)器在網(wǎng)絡(luò)上接收日志，并監(jiān)視不同服務(wù)的健康狀況。使用Rsyslog，您可以從集中位置監(jiān)視其他服務(wù)器、網(wǎng)絡(luò)設(shè)備和遠(yuǎn)程應(yīng)用程序的日志。

準(zhǔn)備

• 兩個(gè)運(yùn)行Ubuntu 18.04 LTS版本的虛擬機(jī)下載地址： http://mirror.freethought-internet.co.uk/ubuntu-releases/18.04.3/ubuntu-18.04.3-live-server-amd64.iso

• 在Rsylog服務(wù)端配置靜態(tài)IP地址192.168.0.101，在Rsylog客戶端配置192.1680.102。

• 在兩個(gè)服務(wù)器上都設(shè)置root密碼。

安裝Rsyslog

默認(rèn)情況下，Rsyslog安裝在Ubuntu 18.04服務(wù)器上。如果沒(méi)有安裝，您可以通過(guò)運(yùn)行以下 命令來(lái)安裝它：

linuxprobe@ubuntu-18-04-lts:~$ apt-get install rsyslog -y

在安裝Rsyslog之后，您可以使用以下 命令檢查Rsyslog的版本：

linuxprobe@ubuntu-18-04-lts:~$ rsyslogd -v
rsyslogd 8.32.0, compiled with:
	PLATFORM:				x86_64-pc-linux-gnu
	PLATFORM (lsb_release -d):		
	FEATURE_REGEXP:				Yes
	GSSAPI Kerberos 5 support:		Yes
	FEATURE_DEBUG (debug build, slow code):	No
	32bit Atomic operations supported:	Yes
	64bit Atomic operations supported:	Yes
	memory allocator:			system default
	Runtime Instrumentation (slow code):	No
	uuid support:				Yes
	systemd support:			Yes
	Number of Bits in RainerScript integers: 64
See http://www.rsyslog.com for more information.

還可以用這個(gè)命令檢查Rsyslog的狀態(tài)：

linuxprobe@ubuntu-18-04-lts:~$ systemctl status rsyslog
? rsyslog.service - System Logging Service
   Loaded: loaded (/lib/systemd/system/rsyslog.service; enabled; vendor preset: enabled)
   Active: active (running) since Thur 2020-01-16 11:20:32 CST; 1min 31s ago
     Docs: man:rsyslogd(8)
 Main PID: 724 (rsyslogd)
    Tasks: 4 (limit: 1114)
   CGroup: /system.slice/rsyslog.service
           ??724 /usr/sbin/rsyslogd -n
Jan 16 04:28:53 ubuntu-18-04-lts systemd[1]: Starting System Logging Service...
Jan 16 04:28:54 ubuntu-18-04-lts rsyslogd[724]: imuxsock: Acquired UNIX socket '/run/systemd/journal/syslog' (fd 3) from systemd.  [v8.32.0]
Jan 16 04:28:54 ubuntu-18-04-lts rsyslogd[724]: rsyslogd's groupid changed to 106
Jan 16 04:28:54 ubuntu-18-04-lts rsyslogd[724]: rsyslogd's userid changed to 102
Jan 16 04:28:54 ubuntu-18-04-lts rsyslogd[724]:  [origin software="rsyslogd" swVersion="8.32.0" x-pid="724" x-info="http://www.rsyslog.com"] start
Jan 16 04:28:55 ubuntu-18-04-lts systemd[1]: Started System Logging Service.

配置Rsyslog服務(wù)端

linuxprobe@ubuntu-18-04-lts:~$ vim /etc/rsyslog.conf

取消這幾行前面的注釋,同事使用UDP和TCP協(xié)議的514端口

$ModLoad imudp
$UDPServerRun 514
$ModLoad imtcp
$InputTCPServerRun 514

指定子網(wǎng)、IP或域名來(lái)限制訪問(wèn)，如下所示：

$AllowedSender TCP, 127.0.0.1, 192.168.0.0/24, *.example.com
$AllowedSender UDP, 127.0.0.1, 192.168.0.0/24, *.example.com

創(chuàng)建一個(gè)模板來(lái)告訴Rsyslog如何存儲(chǔ)傳入的syslog消息。在GLOBAL DIRECTIVES部分之前添加以下幾行：

$template remote-incoming-logs,"/var/log/%HOSTNAME%/%PROGRAMNAME%.log" 
*.* ?remote-incoming-logs

用以下命令檢查Rsyslog配置信息是否有語(yǔ)法錯(cuò)誤：

linuxprobe@ubuntu-18-04-lts:~$ rsyslogd -f /etc/rsyslog.conf -N1
rsyslogd: version 8.32.0, config validation run (level 1), master config /etc/rsyslog.conf
rsyslogd: End of config validation run. Bye.

重新啟動(dòng)Rsyslog：

linuxprobe@ubuntu-18-04-lts:~$ systemctl restart rsyslog

驗(yàn)證Rsyslog正在使用以下命令監(jiān)聽(tīng)TCP/UDP：

linuxprobe@ubuntu-18-04-lts:~$ netstat -4altunp | grep 514
tcp        0      0 0.0.0.0:514             0.0.0.0:*               LISTEN      1332/rsyslogd       
udp        0      0 0.0.0.0:514             0.0.0.0:*                           1332/rsyslogd

配置Rsyslog客戶端

配置Rsyslog客戶端來(lái)向遠(yuǎn)程服務(wù)端發(fā)送系統(tǒng)日志消息。登錄客戶端，打開(kāi)/etc/rsyslog.conf添加如下信息：

linuxprobe@ubuntu-18-04-lts:~$ vim /etc/rsyslog.conf
##Enable sending of logs over UDP add the following line:
*.* @192.168.0.101:514
##Enable sending of logs over TCP add the following line:
*.* @@192.168.0.101:514
##Set disk queue when rsyslog server will be down:
$ActionQueueFileName queue
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1

重新啟動(dòng)Rsyslog：

linuxprobe@ubuntu-18-04-lts:~$ systemtcl restart rsyslog

查看日志

此時(shí)，Rsyslog客戶端被配置為將它們的日志發(fā)送到Rsyslog服務(wù)端。
現(xiàn)在，登錄到Rsyslog服務(wù)器并檢查/var/log目錄?？吹娇蛻舳藱C(jī)器的主機(jī)名，包括幾個(gè)日志文件：

linuxprobe@ubuntu-18-04-lts:~$ ls /var/log/rsyslog-client/
CRON.log  kernel.log  rsyslogd-2039.log  rsyslogd.log  sudo.log  wpa_supplicant.log

總結(jié)

在上面的文章中，我們學(xué)習(xí)了如何在Ubuntu 18.04服務(wù)器上安裝和配置RysLogServer。我們還學(xué)習(xí)了如何配置rsyslog客戶端 向rsyslog服務(wù)端發(fā)送日志。

看完上述內(nèi)容，你們掌握如何理解強(qiáng)大而安全的日志處理系統(tǒng)syslog的方法了嗎？如果還想學(xué)到更多技能或想了解更多相關(guān)內(nèi)容，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道，感謝各位的閱讀！

文章題目：如何理解強(qiáng)大而安全的日志處理系統(tǒng)syslog
瀏覽地址：http://www.rwnh.cn/article46/ghchhg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站建設(shè)、企業(yè)建站、ChatGPT、微信公眾號(hào)、網(wǎng)站策劃、品牌網(wǎng)站制作

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)