Linux下配置日志服务器全过程
一、日志服务器简介
日志对于一个系统有着举足轻重的作用。日志可以审计和监测服务器的系统状态,对于监测和追踪入侵者是十分重要的。一旦服务器有什么异常,系统管理员第一时间肯定想到的是查看日志服务。
对于黑. 客来说,当入侵了一个服务器后,在进行了一系列的操作之后,最后一步就是要清理掉日志服务器的日志记录。但是,有一些企业为了更安全,也为了便于管理,通常在公司内部架设一台日志服务器,然后将多个服务器的日志信息实时的传送到日志服务器上。因此,当黑. 客入侵了公司的一台服务器,最后也清除了改服务器上的系统日志,但是,黑. 客入侵的信息已经被实时的传送到了日志服务器上。攻击者要想不被系统管理员发现,必须入侵到日志服务器,删除到自己的入侵记录,这样便给攻击者增加了难度。更有甚者,为了安全起见,系统管理员会把日志服务器与打印机相连,实时的将日志内容打印出来。当然了,这样会造成大量浪费。但是,如果这样,即使攻击者删除了日志服务器上的入侵记录也没有有了,因为攻击者的入侵记录已经被打印出来。除非攻击者可以飞檐走壁,潜入公司内部,拿走相应的日志记录文件。哈哈,这显然是不可能的。好了,言归正传,接下来我们使用两台Linux主机来配置Linux日志服务器。
传输日志共有三种方法
1.UDP传输协议:基于传统的UDP协议进行远程日志的传输,这也是传统的传输方式。正如UDP协议的传输特点,尽最大可能交付,可靠性较差,但是网络带宽消耗最少(因为不需要建立连接等等),在网络情况较差的情况下可能丢失日志信息。
2.TCP传输协议:基于传统的TCP协议进行传输,需要进行消息的确认,可靠性较高。但是如果服务器宕机或者网络出现故障的情况下也还是会丢失日志信息。
3.RELP传输协议:RELP(Reliable Event Logging Protocol)是基于TCP封装的可靠日志传输协议,RELP在传输过程中不会丢失日志信息,但是必须在rsyslogd版本为3.15.0以上才能使用。(注:使用rsyslogd -version来查看rsyslogd版本信息)
二、实验环境
两台Linux主机,一台作为Linux客户机,另一台作为Linux日志服务器。两台主机处于同一网段,必须可以ping通。在本次实验中,Linux日志服务器的IP地址是192.168.100.1,Linux客户机的IP地址是192.168.100.2。
查看Linux日志服务器的IP地址
查看Linux日志客户机的IP地址
三、实验步骤
1.RELP传输协议(因为默认并没有安装RELP库,所以必须先安装RELP库)
Linux日志服务器端
(1):配置本地yum源并安装rsyslog-relp
修改配置文件,文件内容如下
保存退出,然后挂载光盘镜像
我这显示已经挂载过光盘了。然后安装
若出现如下内容则安装成功
(2):配置Linux日志服务器(配置文件在/etc/rsyslog.conf)
修改配置文件内容如下(在后面添加两行红色方框内的内容)
这两行表示使用relp模式传输,传输端口为2514
(3):开启传输端口监听
修改内容如下:
-r指定监听端口,-c2表明是兼容模式
(4):重启日志服务
(5):关闭防火墙
Linux客户机端
(1):修改日志文件
修改内容如下
(2):重启日志服务
(3):关闭防火墙
测试:
(1):在服务器端查看log下的messages
(2):在客户机输入测试语句
(3):在服务器上可以看见客户机上的日志信息(客户机的日志信息传输到了服务器上)
2.TCP传输协议
Linux日志服务器端
(1):修改服务器的配置文件
修改内容如下(去掉TCP前面两行注释,并且将之前RELP传输协议的内容注释起来)
(2):设置监听端口
修改内容如下(此时端口为514)
(3)重启日志服务
(4):关闭防火墙
Linux客户机端
(1):修改日志配置文件
修改内容如下(在配置文件中添加下图中内容,并且将之前RELP的内容注释掉)
(2):重启日志服务
(3):关闭防火墙
测试
(1):在服务器端查看log下的messages
(2):在客户机输入测试语句
(3):在服务器上可以看见客户机上的日志信息(客户机的日志信息传输到了服务器上)
3.UDP传输协议
Linux日志服务器端
(1): 修改服务器的配置文件
修改内容如下(去掉UDP前面两行注释,并且将之前TCP的内容注释掉)
(2):设置监听端口
修改内容如下
(3):重启服务
(4):关闭防火墙
Linux客户端
(1):修改日志配置文件
(2):修改内容如下(将之前的内容注释掉)
(3):重启服务
(4):关闭防火墙
测试
(1):在服务器端查看log下的messages
(2):在客户机输入测试语句
(3):在服务器上可以看见客户机上的日志信息(客户机的日志信息传输到了服务器上)
这样,三种传输方式配置日志的就完成了。建议最好使用RELP传输方式。
总结
以上为个人经验,希望能给大家一个参考,也希望大家多多支持脚本之家。
相关文章
这篇文章主要给大家介绍了关于Linux中大内存页Oracle数据库优化的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧2018-11-11
为了修复安全扫描中发现的漏洞,我们需要对某些服务设置访问限制,具体来说,就是要确保只有指定的内部IP地址能够访问这些服务,所以本文给大家介绍了Linux限制ip访问的解决方案,需要的朋友可以参考下2025-01-01
现在看到越来越多的VPSer开始使用VPS,在使用VPS的时候一个很重要的任务就是VPS提供备份,虽然一些IDC也提供VPS的备份服务,但要不就是收费,都不太适合我们这些VPSer们使用。2010-12-12
Linux Apache+Proftpd构建虚拟主机时要注意的几个安全问题
Linux下Apache+Proftpd构建虚拟主机时要注意的几个安全问题,大家可以参考下,有其它未完整的地方,大家可以补充下。2009-08-08
这篇文章主要介绍了Linux环境ActiveMQ部署方法,较为详细的分析了Linux环境下ActiveMQ的部署方法,并附带说明了linux安装jdk的相关操作步骤,需要的朋友可以参考下2019-05-05
rsync是linux系统下的数据镜像备份工具。使用快速增量备份工具Remote Sync可以远程同步,支持本地复制,或者与其他SSH、rsync主机同步2021-06-06
CAN是一种广泛用于嵌入式系统、汽车和工业控制中的通信协议,Linux 支持 CAN 协议栈,并通过 SocketCAN 实现对 CAN 总线的访问,在这篇博客中,我们将深入讲解如何在 Linux 系统中配置和使用 CAN 通信,需要的朋友可以参考下2025-08-08
这篇文章主要介绍了在 Linux 上查看和配置密码时效的相关知识,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下2020-04-04
Linux中使用selenium截图的文字变为方框的解决方案
本文讲述了在Linux中使用Selenium截图时遇到的文字显示为方框的问题,原因在于缺少中文字体,作者详细介绍了在CentOs上安装宋体字体并配置字体环境的步骤,确保截图恢复正常显示,需要的朋友可以参考下2025-11-11
在本篇文章中小编给大家分享了关于linux系统下使用tcpdump进行抓包的方法和相关知识点,需要的朋友们学习下。2019-04-04
最新评论