前言
隨著機房內(nèi)的服務(wù)器和網(wǎng)絡(luò)設(shè)備增加,日志管理和查詢就成了讓系統(tǒng)管理員頭疼的事。
系統(tǒng)管理員遇到的常見問題如下:
1、日常維護過程中不可能登錄到每一臺服務(wù)器和設(shè)備上去查看日志;
2、網(wǎng)絡(luò)設(shè)備上的存儲空間有限,不可能存儲日期太長的日志,而系統(tǒng)出現(xiàn)問題又有可能是很久以前發(fā)生的某些操作造成的;
3、在某些非法入侵的情況下,入侵者一般都會清除本地日志,清除入侵痕跡;
3、zabbix等監(jiān)控系統(tǒng)無法代替日志管理,無法監(jiān)控如系統(tǒng)登錄、計劃任務(wù)執(zhí)行等項目。
基于上述原因,在當前的網(wǎng)絡(luò)環(huán)境中搭建一臺用于日志集中管理的日志服務(wù)器是很有必要的。
實驗
一、實驗?zāi)康模?/strong>
搭建一臺用于日志集中管理的日志服務(wù)器
二、實驗環(huán)境:
兩臺Centos6.5 虛擬機
服務(wù)端ip:192.168.43.175
客戶端ip:192.168.43.51
三、實驗步驟:
Step1:配置服務(wù)器配置文件(ip:192.168.43.175)
語法:
[root@localhost ~]# vi /etc/rsyslog.conf
#去注釋
$ModLoad imudp
$UDPServerRun 514
$ModLoad imtcp
$InputTCPServerRun 514
#添加
$AllowedSender tcp, 192.168.30.0/24 #客戶端網(wǎng)段
$template Remote,"/data/log/%fromhost-ip%/%fromhost-ip%_%$YEAR%-%$MONTH%-%$DAY%.log" #指定遠程日志保存的路徑與格式
:fromhost-ip, !isequal, "127.0.0.1" ?Remote
-
如圖:
image.png
Step2:創(chuàng)建日志保存目錄
語法:
[root@localhost ~]# mkdir -pv /data/log
-
如圖:
image.png
Step3:重啟日志服務(wù)器
語法:
[root@localhost ~]# service rsyslog restart
-
如圖:
image.png
Step4:配置客戶端配置文件,并重啟日志服務(wù)器
語法:
[root@localhost ~]# vi /etc/rsyslog.conf
[root@localhost ~]# service rsyslog restart
-
如圖:
image.png
四、實驗測試:
Step1:關(guān)閉服務(wù)端(ip:192.168.43.175)防火墻
語法:
[root@localhost ~]# service iptables stop
-
如圖:
image.png
Step2:關(guān)閉SELinux
語法:
[root@localhost ~]# setenforce 0
Step3:客戶端(ip:192.168.43.51)發(fā)送日志
語法:
[root@localhost ~]# logger "test"
Step4:發(fā)現(xiàn)在服務(wù)端(ip:192.168.43.175)剛創(chuàng)建的日志目錄/data/log/下收到了來自客戶端(ip:192.168.43.51)發(fā)來的日志
-
如圖:
image.png
image.png
小編也是小白寫的不好見諒。
