RH413日志服务器篇

14、配置系统日志

环境:

1、RHEL6.4Server

2、RHEL6.4client

1、配置基于TLS的日志加密

1)查看日志服务状态

[[email protected] ~]# service rsyslog status
rsyslogd (pid  2684) is running...

2)查看/etc/rsyslog.conf配置文件

2、关于日志

系统日志由syslogd提供

日志文件示例

/var/log/dmesg---内核引导信息和硬件信息

/var/log/messages---标准系统出错信息

/var/log/maillog---邮件系统信息

/var/log/secure---安全、认证和xinetd信息

应用程序日志文件和目录也保存在/var/log/messages

3、解析rsyslog.conf配置文件

[[email protected] ~]# sed -e ‘/^#/d‘ /etc/rsyslog.conf
$ModLoad imuxsock # provides support for local system logging (e.g. via logger command)
$ModLoad imklog   # provides kernel logging support (previously done by rklogd)
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
$IncludeConfig /etc/rsyslog.d/*.conf
*.info;mail.none;authpriv.none;cron.none                /var/log/messages
---以上第一个*代表日志的分门别类,将系统级别最低的写入日志、邮件相关除外、安全相关除外、计划任务相关除外
authpriv.*                                              /var/log/secure
---安全相关内容的所有等级记录到secure日志中
mail.*                                                  -/var/log/maillog
---邮件相关内容的所有等级都记录到maillog日志中
cron.*                                                  /var/log/cron
---计划任务相关内容的所有等级都记录到cron日志中

4、日志等级

信息等级符号

"."  表示后面还要高的等级(包括该等级)都记录

".="所需要的等级就是等号后面的等级,其他不要

".!"除了该等级,其他等级都记录下来

信息记录的文件名或配置或主机

/var/log

/var/lp0

@abc.com

"*"(当前在线的所有人)

*.*@@remote-host:514两个@@代表tcp,一个@代表udp

5、安装rsyslog加密包(SERVER和CLIENT都需要安装)

[[email protected] ~]# yum install rsyslog-gnutls
[[email protected] ~]# yum install rsyslog-gnutls

6、查询包是否加载模块

[[email protected] ~]# rpm -ql rsyslog-gnutls
/lib64/rsyslog/lmnsd_gtls.so

7、查询加密方式的端口号

[[email protected] ~]# semanage port -l | grep syslog
syslogd_port_t                 tcp      6514
syslogd_port_t                 udp      514, 6514

8、添加加密方式的端口号

[[email protected] ~]# semanage port -a -t syslogd_port_t -p tcp 6514

9、安装CA签名证书包

[[email protected] ~]# yum -y install gnutls-utils

10、配置日志加密服务

cd /usr/share/doc/rsyslog/
firefoxrsyslog_tls.html&

1)配置CA目录

[[email protected] ~]# mkdir -p /etc/sys-key
[[email protected] ~]# cd /etc/sys-key

2)创建CA私钥

[[email protected] sys-key]# certtool?--generate-privkey?--outfile?ca-key.pem
Generating?a?2048?bit?RSA?private?key...

3)配置自签发证书

[[email protected] sys-key]# certtool?--generate-self-signed?--load-privkey?ca-key.pem?--outfile?ca.pem
Generating?a?self?signed?certificate...
Please enter the details of the certificate‘s distinguished name. Just press enter to ignore a field.
Country name (2 chars): CN
Organization name: RT
Organizational unit name: ES
Locality name: BJ
State or province name: HD
Common name: 
UID: 
This field should not be used in new certificates.
E-mail: 
Enter the certificate‘s serial number in decimal (default: 1453816763):
Activation/Expiration?time.
The certificate will expire in (days): 365
Extensions.
Does the certificate belong to an authority? (y/N): Y
Path length constraint (decimal, -1 for no constraint): 
Is this a TLS web client certificate? (y/N): 
Is this also a TLS web server certificate? (y/N): 
Enter the e-mail of the subject of the certificate: 
Will the certificate be used to sign other certificates? (y/N): 
Will the certificate be used to sign CRLs? (y/N): 
Will the certificate be used to sign code? (y/N): 
Will the certificate be used to sign OCSP requests? (y/N): 
Will the certificate be used for time stamping? (y/N): 
Enter the URI of the CRL distribution point: 
X.509 Certificate Information: 
Version: 3
      Serial Number (hex): 56a77bbb
      Validity:
      Not?Before:?Tue?Jan?26?13:59:24?UTC?2016
      Not?After:?Wed?Jan?25?13:59:34?UTC?2017
      Subject:?C=CN,O=RT,OU=ES,L=BJ,ST=HD
      Subject?Public?Key?Algorithm:?RSA
      Modulus?(bits?2048):
      e9:be:2a:bd:dd:4c:79:ef:4d:97:2d:b3:1e:e7:fb:96
      a4:ee:19:61:e2:62:68:5b:b0:53:03:4c:48:7a:ee:fe
      。。。。。。。
      。。。。。。。
      。。。。。。。
     
      。。。。。
      。。。。。。
     
  Is?the?above?information?ok??(Y/N):?y

4)创建SERVER端私钥---申请证书文件

[[email protected] sys-key]# certtool?--generate-privkey?--outfile?teacherskey.pem
  Generating a 2048 bit RSA private key...

5)创建待签名CA证书---公钥

[[email protected] sys-key]# certtool --generate-request --load-privkey teacherskey.pem --outfile teachers-csr.pem
  Generating?a?PKCS?#10?certificate?request...
  .....
  ....
  ...

6)删除没用的证书申请文件

  [[email protected] sys-key]# rm -rf request-csr.pem

7)创建服务器的配置文件

[[email protected] sys-key]# vim /etc/rsyslog.d/server.conf
  #?make?gtls?driver?the?default
  $DefaultNetstreamDriver?gtls
  
  # certificate files
$DefaultNetstreamDriverCAFile /etc/syskey/ca.pem
$DefaultNetstreamDriverCertFile /etc/sys-key/teachers-crt.pem
$DefaultNetstreamDriverKeyFile /etc/sys-key/teacherskey.pem
$ModLoad?imtcp?#?load?TCP?listener
$InputTCPServerStreamDriverMode 1 # run driver in TLS-only mode
$InputTCPServerStreamDriverAuthMode anon # client is NOT authenticated
$InputTCPServerRun 6514 # start up listener at port 10514

8)重启SERVER端服务

[[email protected] sys-key]# service rsyslog restart
Shutting down system logger: [  OK  ]
Starting system logger: [  OK  ]

9)查看配置是否有监听

[[email protected] sys-key]# netstat?-tupl|grep?rsyslog

11、配置CLIENT端

1)配置客户端CA

[[email protected] ~]# vim /etc/rsyslog.d/client.conf
# certificate files - just CA for a client
$DefaultNetstreamDriverCAFile /etc/sys-key/ca.pem
# set up the action
$DefaultNetstreamDriver gtls # use gtls netstream driver
$ActionSendStreamDriverMode 1 # require TLS for the connection
$ActionSendStreamDriverAuthMode anon # server is NOT authenticated
*.* @@(o)teachers.example.com:6514 # send (all) messages

2)创建CA公钥的目录和文件

[[email protected] ~]# mkdir -p /etc/sys-key
[[email protected] ~]#scp -p [email protected]:/etc/sys-key/ca.pem  /etc/sys-key/
[email protected] ‘s password:
 
[[email protected] ~]#ls /etc/sys-key/

3)重启客户端日志服务

[[email protected] ~]#service rsyslog restart

4)发送日志到远程服务器  --测试

[[email protected] ~]#logger test tls log
[[email protected] ~]# tail -f /var/log/messages

5)如果将客户端上的日志丢弃配置/etc/rsyslog.conf

关闭防火墙!!

配置不加密的日志服务器
客户端:vim /etc/rsyslog.conf

添加如下:
     *.* @@192.168.200.128:514

重启服务:service  rsyslog  restart

服务器端:vim  /etc/rsyslog.conf

启用TCP

# Provides TCP syslog reception

$ModLoad imtcp

$InputTCPServerRun 514

添加:

:fromhost,isequal,"192.168.200.129"     /var/log/node1

:fromhost,isequal,"192.168.200.129"     ~        此举使得来自远端的日志信息仅记录的指定文件,并不记录在本地原装目录

重启服务:service  rsyslog restart

时间: 2024-07-31 12:44:02

RH413日志服务器篇的相关文章

linux把日志发送到日志服务器上

上一篇我们介绍了rsyslog配置文件.在现网环境中,无论是为了把日志存储更长的时间还是为了分析日志的方便性,我们通常会把日志发送到日志服务器或是日志收集分析系统上.接下来我们介绍一下如何配置. 实验环境: RHEL 7 实验目的: 我们把client上info级别以上的所有日志都发送到日志服务器192.168.202.130上. client: 定义info级别日志,并发送到日志服务器上,在下列位置插入一行 vim /etc/rsyslog # Save boot messages also 

微信蓝牙BLE接入调试指引 第三方服务器篇

微信蓝牙BLE接入调试指引 第三方服务器篇 3 构建第三方服务器 服务器的功能主要是接收微信发过来的绑定.解绑.菜单等事件,以及微信发过来的文本.设备发过来的数据等. 3.1 编译服务程序 QQ提供了服务程序的DEMO,下载地址如下: Nordic nRF51822接入服务器端源代码 http://iot.weixin.qq.com/wiki/doc/blue/BlueDemoServer.zip 下载编译工具: Download Java 1.7 64位 http://www.cr173.co

centos7+rsyslog+loganalyzer+mysql 搭建rsyslog日志服务器

一.简介 在centos7系统中,默认的日志系统是rsyslog,它是一类unix系统上使用的开源工具,用于在ip网络中转发日志信息,rsyslog采用模块化设计,是syslog的替代品. 1.rsyslog特点 实现了基本的syslog协议 直接兼容syslogd的syslog.conf配置文件 在同一台机器上支持多个rsyslogd进程,支持多线程 丰富的过滤功能,可以实现过滤日志信息中的任何部分,可将消息过滤后在转发 灵活的配置选项,配置文件中可以写简单的逻辑判断,自定义输出格式等 增加了

Windows使用免费版Kiwisyslog搭建日志服务器

说明:Kiwisyslog 9.5.1 免费版 因为项目需要,使用Windows作为日志服务器,因为特殊原因未使用Linux来做. 因为使用的是免费版本,所有是有来源限制,最多5个. 安装完成之后,会发现接收不到日志.需要在input里头配置来源IP

基于rsyslog+mysql+loganalyzer构建一个小而美的日志服务器

前言: 每当我们遇到问题抓耳挠腮,一脸懵那啥的时候,也许看一下日志就瞬间豁然开朗,所以,一个易用的日志服务器还是很重要的.我们先不介绍elk,那个牛逼吊炸天的日志分析系统.今天我们先来构建一个小的日志服务器.elk我们以后再说~ 正文: 当我们配置完一个服务,启动报错时,那感觉就像吃了啥一样,别提多难受,除非服务程序本身有检测配置文件的程序,不然我们就得依赖linux自己的集中日志服务器rsyslog了.不过,有时候也许我们想搜索一下某条日志,或者向用可视化的界面进行统计分析.此时我们可以把日志

CentOS 6.7下利用Rsyslog+LogAnalyzer+MySQL部署日志服务器

一.简介 LogAnalyzer 是一款syslog日志和其他网络事件数据的Web前端.它提供了对日志的简单浏览.搜索.基本分析和一些图表报告的功能.数据可以从数据库或一般的syslog文本文件中获取,所以LogAnalyzer不需要改变现有的记录架构.基于当前的日志数据,它可以处理syslog日志消息,Windows事件日志记录,支持故障排除,使用户能够快速查找日志数据中看出问题的解决方案. LogAnalyzer 获取客户端日志会有两种保存模式,一种是直接读取客户端/var/log/目录下的

CentOS 6.5下利用Rsyslog+LogAnalyzer+MySQL部署日志服务器

一.简介 LogAnalyzer 是一款syslog日志和其他网络事件数据的Web前端.它提供了对日志的简单浏览.搜索.基本分析和一些图表报告的功能.数据可以从数据库或一般的syslog文本文件中获取,所以LogAnalyzer不需要改变现有的记录架构.基于当前的日志数据,它可以处理syslog日志消息,Windows事件日志记录,支持故障排除,使用户能够快速查找日志数据中看出问题的解决方案. LogAnalyzer 获取客户端日志会有两种保存模式,一种是直接读取客户端/var/log/目录下的

Linux系统的日志服务器syslogd

系统日志是记录系统中硬件.软件和系统问题的信息,同时还可以监控系统中发生的事件.用户可以通过它来检查错误发生的的原因,或者寻找受到攻击时攻击者留下的痕迹. Windows的事件查看器就是一个日志系统.Linux的日志系统则是通过安装sysklogd这个软件包形成了两个服务: /sbin/klogd 针对硬件(针对内核所产生的,很多和硬件相关) /sbin/syslogd 针对软件(系统的日志服务器) 查看硬件方面的日志: [[email protected] ~]# dmesg |grep -i

centos下简单实现日志切割,并上传至日志服务器。

#!/bin/bash #大于500M的日志上传至日志服务器并清除 count=$[1024*1024*500]#500M file_size=`ll /var/log/httpd/access_log| awk '{print $5}'` passwd="magedu.com"#注意变量最好在expect外定义,不知道什么原因我在expect里面定义不成功 if [ $file_size -gt $count ] then /usr/bin/expect << EOF s