Linux下配置日志服务器
一、日志服务器简介
日志对于一个系统有着举足轻重的作用。日志可以审计和监测服务器的系统状态,对于监测和追踪入侵者是十分重要的。一旦服务器有什么异常,系统管理员第一时间肯定想到的是查看日志服务。
对于黑客来说,当入侵了一个服务器后,在进行了一系列的操作之后,最后一步就是要清理掉日志服务器的日志记录。但是,有一些企业为了更安全,也为了便于管理,通常在公司内部架设一台日志服务器,然后将多个服务器的日志信息实时的传送到日志服务器上。因此,当黑客入侵了公司的一台服务器,最后也清除了改服务器上的系统日志,但是,黑客入侵的信息已经被实时的传送到了日志服务器上。攻击者要想不被系统管理员发现,必须入侵到日志服务器,删除到自己的入侵记录,这样便给攻击者增加了难度。更有甚者,为了安全起见,系统管理员会把日志服务器与打印机相连,实时的将日志内容打印出来。当然了,这样会造成大量浪费。但是,如果这样,即使攻击者删除了日志服务器上的入侵记录也没有有了,因为攻击者的入侵记录已经被打印出来。除非攻击者可以飞檐走壁,潜入公司内部,拿走相应的日志记录文件。哈哈,这显然是不可能的。好了,言归正传,接下来我们使用两台Linux主机来配置Linux日志服务器。
传输日志共有三种方法:
1.UDP传输协议:基于传统的UDP协议进行远程日志的传输,这也是传统的传输方式。正如UDP协议的传输特点,尽最大可能交付,可靠性较差,但是网络带宽消耗最少(因为不需要建立连接等等),在网络情况较差的情况下可能丢失日志信息。
2.TCP传输协议:基于传统的TCP协议进行传输,需要进行消息的确认,可靠性较高。但是如果服务器宕机或者网络出现故障的情况下也还是会丢失日志信息。
3.RELP传输协议:RELP(Reliable Event Logging Protocol)是基于TCP封装的可靠日志传输协议,RELP在传输过程中不会丢失日志信息,但是必须在rsyslogd版本为3.15.0以上才能使用。(注:使用rsyslogd -version来查看rsyslogd版本信息)
二、实验环境
两台Linux主机,一台作为Linux客户机,另一台作为Linux日志服务器。两台主机处于同一网段,必须可以ping通。在本次实验中,Linux日志服务器的IP地址是192.168.100.1,Linux客户机的IP地址是192.168.100.2。
查看Linux日志服务器的IP地址
查看Linux日志客户机的IP地址
三、实验步骤
1.RELP传输协议(因为默认并没有安装RELP库,所以必须先安装RELP库)
Linux日志服务器端:
(1):配置本地yum源并安装rsyslog-relp
修改配置文件,文件内容如下
保存退出,然后挂载光盘镜像
我这显示已经挂载过光盘了。然后安装
若出现如下内容则安装成功
(2):配置Linux日志服务器(配置文件在/etc/rsyslog.conf)
修改配置文件内容如下(在后面添加两行红色方框内的内容)
这两行表示使用relp模式传输,传输端口为2514
(3):开启传输端口监听
修改内容如下:
-r指定监听端口,-c2表明是兼容模式
(4):重启日志服务
(5):关闭防火墙
Linux客户机端:
(1):修改日志文件
修改内容如下
(2):重启日志服务
(3):关闭防火墙
测试:
(1):在服务器端查看log下的messages
(2):在客户机输入测试语句
(3):在服务器上可以看见客户机上的日志信息(客户机的日志信息传输到了服务器上)
2.TCP传输协议
Linux日志服务器端
(1):修改服务器的配置文件
修改内容如下(去掉TCP前面两行注释,并且将之前RELP传输协议的内容注释起来)
(2):设置监听端口
修改内容如下(此时端口为514)
(3)重启日志服务
(4):关闭防火墙
Linux客户机端
(1):修改日志配置文件
修改内容如下(在配置文件中添加下图中内容,并且将之前RELP的内容注释掉)
(2):重启日志服务
(3):关闭防火墙
测试
(1):在服务器端查看log下的messages
(2):在客户机输入测试语句
(3):在服务器上可以看见客户机上的日志信息(客户机的日志信息传输到了服务器上)
3.UDP传输协议
Linux日志服务器端
(1): 修改服务器的配置文件
修改内容如下(去掉UDP前面两行注释,并且将之前TCP的内容注释掉)
(2):设置监听端口
修改内容如下
(3):重启服务
(4):关闭防火墙
Linux客户端
(1):修改日志配置文件
(2):修改内容如下(将之前的内容注释掉)
(3):重启服务
(4):关闭防火墙
测试
(1):在服务器端查看log下的messages
(2):在客户机输入测试语句
(3):在服务器上可以看见客户机上的日志信息(客户机的日志信息传输到了服务器上)
这样,三种传输方式配置日志的就完成了。建议最好使用RELP传输方式。
Linux下配置日志服务器相关推荐
- Linux下配置Smba服务器
文章目录 1 Linux下配置Smba服务器 1 Linux下配置Smba服务器 Ubuntu安装Samba 服务器: 确认安装: dpkg -l | grep samba 安装: sudo apt- ...
- Linux下配置DNS服务器之一--Master服务器
Linux下配置DNS服务器之一--Master服务器 系统环境: RedHat EL55 Oracle 11g RAC 集群中引入了SCAN(Single Client Access Name)的概 ...
- linux下pppoe服务器,Linux下配置pppoe服务器
Linux下配置pppoe服务器 发布时间:2007-04-28 00:51:28来源:红联作者:readywin 系统环境: fedora 4 2.6.11 i386 rp-pppoe-3.5-27 ...
- 虚拟机linux ftp慢,虚拟机Linux下配置FTP服务器的方法
虚拟机Linux下配置FTP服务器的方法 1.确保虚拟机系统与宿主系统是桥接设置,以方便连接. 2.在虚拟机系统中安装ftp服务器,我安装的是vsftpd服务器.由于安装的虚拟机系统CentOS 中已 ...
- linux下配置squid 服务器,最简单使用方式
linux下配置squid 1.什么是squid Squid cache(简称为Squid)是一个流行的自由软件(GNU通用公共许可证)的代理服务器和Web缓存服务器.Squid有广泛的用途,从作为网 ...
- linux下配置samba服务器(以CentOS6.7为例)
一.简介(百度百科) Samba是在Linux和UNIX系统上实现SMB协议的一个免费软件,由服务器及客户端程序构成.SMB(Server Messages Block,信息服务块)是一种在局域网上共 ...
- linux 关闭rsync服务器,linux下配置rsync服务器和实时同步
安装:rpm –ivh rsync-XXXXXX.RPM也可以用YUM 启动rsync必须要装xinetd,它是靠它启动的,端口是873 设定: /etc/xinetd.d/rsync:即#vi /e ...
- Linux下配置Samba服务器使用SMBv1或SMBv2协议
修改配置文件 使用命令:man smb.conf,查看Samba所支持的协议级别 编辑Samba配置文件:vi /etc/samba/smb.conf 在smb.conf文件中找到[global],在 ...
- Linux下配置NTP时间服务器
2019独角兽企业重金招聘Python工程师标准>>> Linux下配置NTP服务器 一.前言: Network Time Protocol(NTP)是用来使计算机时间同步化的一种协 ...
- linux日志采集配置,linux下配置rsyslog日志收集服务器案例
原标题:linux下配置rsyslog日志收集服务器案例 环境配置 centos6系统 client1:192.168.1.33 centos7系统 client2:192.168.1.44 cent ...
最新文章
- python libnum库安装使用方法
- 退役-兵巨臂锻炼计划
- android 文件读取错误,Android源文件从SD卡读取错误问题,怎么处理
- Linux : find big file in the all directories
- C标准函数库中获取时间与日期、对时间与日期数据操作及格式化
- 上海交通大学软件学院2005学年度第一学期工程硕士课程安排表
- C程序设计语言现代方法13:字符串
- uBLAS——Boost 线性代数基础程序库 (三)
- 7-7 找最小的字符串 (15 分)
- 节后上班 北京车辆尾号限行2日轮换
- 无法安装64位版本的Office,因为在您的PC上找到了以下32位程序……解决办法
- 抖音小程序是什么_如何开发抖音小程序
- 安卓真机如何连接本地服务器_Android 真机连接本地PC服务器
- 100个python算法超详细讲解:三色旗
- Java接口,多态,向上转型,向下转型的意义
- 亮剑java web_为什么《亮剑Java Web 项目开发案例导航》第二个项目运行不了?
- web开发,如何自动选定打印机进行打印(设置默认打印机打印)
- python电商_电商数据分析(python)
- 核心技术及创新点怎么写
- 镜头camera shot