配置rhel 6syslog

1、配置rhel 6.4(64位)安裝使用syslog-ng 3.5Linux保存了系統(tǒng)中所發(fā)生事件的詳細記錄，這些記錄稱作日志文件或消息文件?？梢圆殚喨罩疚募泶_定系統(tǒng)當前狀態(tài)，觀察入侵者蹤跡，尋找某特定程序(或事件)相關(guān)的數(shù)據(jù)。syslogd與klogd(監(jiān)控linux內(nèi)核提交的消息)守護進程負責記錄，發(fā)送系統(tǒng)或工具產(chǎn)生的信息，二者的配置文件都是/etc/syslog.conf。當系統(tǒng)內(nèi)核或工具產(chǎn)生信息時，通過調(diào)用相關(guān)函數(shù)將信息發(fā)送到syslogd或klogd守護進程。syslogd與klogd守護進程會根據(jù)/etc/syslog.conf中的配置信息，對消息的去向作出處理。syslog協(xié)議的

2、詳細描述在RFC3164中。    logrotate工具用來定期重命名、壓縮、郵遞系統(tǒng)日志文件，它可以保證日志文件不會占用太大的磁盤空間。    1、配置文件/etc/syslog.conf： syslog.conf是syslogd進程的配置文件，將在程序啟動時讀取，默認位置是/etc/syslog.conf。這個配置文件中的空白行和以"#"開頭的行將被忽略。"facility.level"部分也被稱為選擇符(seletor)。 seletor和action之間使用一個或多個空白分隔。它指定了

3、一系列日志記錄規(guī)則。規(guī)則的格式如下:    facility.level    action    選擇符(seletor)由facility和level兩部分組成，之間用一個句點(.)連接。    （1）facility：指定了產(chǎn)生日志的設(shè)備，可以是下面的關(guān)鍵字之一:關(guān)鍵字                 

4、  值            解釋kern                0          內(nèi)核信息，首先通過klogd傳遞user        

5、0;       1          由用戶程序生成的信息mail                2          與電子郵件有關(guān)的信息daemon    

6、0;         3          與inetd守護進程有關(guān)的信息auth                4          由pam_pwdb報告的認證活動syslog 

7、;             5          由syslog生成的信息lpr                 6          與打

8、印服務(wù)有關(guān)的信息news                7          來自新聞服務(wù)器的信息uucp                8      

9、;    由uucp生成的信息(uucp = unix to unix copy)cron                9          與cron和at有關(guān)的信息authpriv            10

10、60;        包括私有信息(如用戶名)在內(nèi)的認證活動ftp                 11         與FTP有關(guān)的信息            

11、60;       12-15      系統(tǒng)保留local0 local7     16-23      由自定義程序使用，例如使用local5做為ssh功能mark                   &#

12、160;       syslog內(nèi)部功能，用于生成時間戳*                              通配符代表除了mark以外的所有功能    在大多數(shù)情況下，任何程序都可以通過任何facility發(fā)

13、送日志消息，但是一般都遵守約定俗成的規(guī)則。比如，只有內(nèi)核才能使用"kern"facility。注意syslog保留從“l(fā)ocal0”到“l(fā)ocal7”這幾個設(shè)備號來接受從遠程服務(wù)器和網(wǎng)絡(luò)設(shè)備上發(fā)送過來的日志信息。路由器，交換機，防火墻和負載均衡器都很容易給它們各自配置一個獨立的日志文件。    （2）level：指定了消息的優(yōu)先級，可以是下面的關(guān)鍵字之一(降序排列，嚴重性越來越低)：關(guān)鍵字             &

14、#160;      值         解釋emerg                0        系統(tǒng)不可用alert          &#

15、160;     1        需要立即被修改的條件crit                 2        (臨界)阻止某些工具或子系統(tǒng)功能實現(xiàn)的錯誤條件err       

16、0;          3        阻止工具或某些子系統(tǒng)部分功能實現(xiàn)的錯誤條件warning              4        預(yù)警信息notice      &#

17、160;        5        具有重要性的普通條件info                 6        提供信息的消息debug       

18、         7        不包含函數(shù)條件或問題的其他信息none                          (屏蔽所有來自指定設(shè)備的消息)沒有優(yōu)先級，通常用于排錯* 

19、60;                           除了none之外的所有級別    facility部分可以是用逗號(,)分隔的多個設(shè)備，而多個seletor之間也可以通過分號(;)組合在一起。注意多個組合在一起的選擇符，后面的會覆蓋前面的，這樣就允許從模式中排除一些優(yōu)先級。默認將對指定級別以及更嚴

20、重級別的消息進行操作，但是可以通過2個操作符進行修改。等于操作符(=)表示僅對這個級別的消息進行操作，不等操作符(!)表示忽略這個級別以及更嚴重級別的消息。這兩個操作符可以同時使用，不過"!"必須出現(xiàn)在"="的前面。    （3）動作action：動作確定了syslogd與klogd守護進程將日志消息發(fā)送到什么地方去。有以下幾種選擇：    普通文件：使用文件的絕對路徑來指明日志文件所在的位置，例如：/var/log/cron。    終端設(shè)備：終端可以是/dev/

21、tty0/dev/tty6，也可以為/dev/console。    用戶列表：例如動作為“root hackbutter”，將消息寫入到用戶root與hackbutter的計算機屏幕上。    遠程主機：將信息發(fā)往網(wǎng)絡(luò)中的其他主機的syslogd守護進程，格式為“hostname”。    （4）配置文件的語法說明：    *用作設(shè)備或優(yōu)先級時，可以匹配所有的設(shè)備或優(yōu)先級。    *用作動作時，將消息發(fā)送給所有的登錄用戶。  

22、;   多個選擇器可在同一行中，并使用分號分隔開，且后面的會覆蓋前面的。如uucp,news.crit。     關(guān)鍵字none用作優(yōu)先級時，會屏蔽所有來自指定設(shè)備的消息。     通過使用相同的選擇器和不同的動作，同一消息可以記錄到多個位置。    syslog.conf文件中后面的配置行不會覆蓋前面的配置行，每一行指定的動作都獨立的運作。    （5）我的Ubuntu中默認的/etc/syslog.conf內(nèi)容：python vie

23、w plaincopyprint?1. # /etc/syslog.conf  syslogd的配置文件   2. # 更多信息參考syslog.conf(5)   3. #   4. # 首先是一些標準的日志文件，消息由相應(yīng)設(shè)備發(fā)送   5. #   6. # 認證活動auth,authpriv的日志消息發(fā)送到auth.log中   7. auth,authpriv.*    

24、;     /var/log/auth.log  8. # 除auth和authpriv之外的所有設(shè)備的所有消息都要發(fā)送到syslog中   9. *.*;auth,authpriv.none      -/var/log/syslog  10. # cron及at的消息發(fā)送到cron.log   11. #cron.*     

25、0;       /var/log/cron.log   12. # inetd的所有消息發(fā)送到daemon.log   13. daemon.*            -/var/log/daemon.log  14. # 內(nèi)核的所有消息（如klogd的消息）發(fā)送到kernlog   15. kern.*&

26、#160;             -/var/log/kern.log  16. # 打印服務(wù)的所有消息發(fā)送到lpr.log   17. lpr.*               -/var/log/lpr.log  18. # 郵件的所有

27、消息發(fā)送到mail.log   19. mail.*              -/var/log/mail.log  20. # 用戶程序的所有消息發(fā)送到user.log   21. user.*              -/var/log/us

28、er.log  22. #   23. # 郵件系統(tǒng)的日志記錄。分割成不同的文件，以便能夠比較容易地寫腳本來   24. # 解析這些文件   25. #   26. # 郵件的info或更高級別的消息發(fā)送到，warn更高級別的消息發(fā)送到mail.warn，   27. # err或更高級別的消息發(fā)送到mail.err   28.     &

29、#160;      -/var/log/  29. mail.warn           -/var/log/mail.warn  30. mail.err            /var/log/mail.err  31. #

30、 INN新聞系統(tǒng)的日志記錄：來自新聞服務(wù)器的消息   32. #   33. news.crit           /var/log/news/news.crit  34. news.err            /var/log/news/news.err  35. news

31、.notice         -/var/log/news/news.notice  36. #   37. # 一些捕捉用的日志文件   38. #   39. # 除auth,authpriv,news,mail之外的所有設(shè)備的debug級別消息都要發(fā)送到debug中   40. *.=debug;/  41.     a

32、uth,authpriv.none;/  42.     news.none;mail.none -/var/log/debug  43. # 除auth,authpriv,cron,daemon,mail,news之外的所有設(shè)備的info,notice,   44. # warn級別消息都要發(fā)送到messages中   45. *.=info;*.=notice;*.=warn;/  46.   

33、0; auth,authpriv.none;/  47.     cron,daemon.none;/  48.     mail,news.none      -/var/log/messages  49. #   50. # 所有設(shè)備的emerg級別消息（系統(tǒng)無法使用）會發(fā)送給所有登錄的用戶   51. #   5

34、2. *.emerg             *  53. #   54. # 希望一些消息顯示在控制臺，但只在虛擬控制臺上：daemon,mail的任何消息；news的危險、   55. # 錯誤、通知消息；任何設(shè)備的調(diào)試、信息、通知、預(yù)警消息   56. #   57. #daemon,mail.*;/   58. #

35、60;  news.=crit;news.=err;news.=notice;/   59. #   *.=debug;*.=info;/   60. #   *.=notice;*.=warn   /dev/tty8   61. # 命名管道/dev/xconsole用于xconsloe工具。為了使用它，你必須帶-file選項來調(diào)用xconsole   62. #  

36、0; $ xconsole -file /dev/xconsole .   63. # 注意：調(diào)整下面的列表，否則如果你有一個相當繁忙的站點，你將變得發(fā)狂   64. daemon.*;mail.*;/  65.     news.err;/  66.     *.=debug;*.=info;/  67.     *

37、.=notice;*.=warn   |/dev/xconsole      某些應(yīng)用軟件也會將自己的運行狀況記錄到特定的日志文件上，它不受syslog.conf文件的控制。如文件/var/log/apache2/access.log，目錄/var/log/apache2, /var/log/cups, /var/log/gdm, /var/log/mysql, /var/log/samba等。    修改完/etc/syslog.conf后，可用service syslog rest

38、art重啟syslog服務(wù)，Debian/Ubuntu中則用sudo /etc/init.d/sysklogd restart。查看日志文件里最新的記錄可用tail -f /var/log/messages。    2、將日志信息記錄到遠程Linux服務(wù)器上： 將你的系統(tǒng)信息記錄到遠程服務(wù)器上將是一個很好的安全措施。如果把公司所有的服務(wù)器的日志信息都記錄到一個集中的syslog服務(wù)器上，這將會方便你管理各個服務(wù)器中發(fā)生的相關(guān)事件。這也會使得掩蓋錯誤和惡意攻擊變得更困難，因為對各個日志文件的惡意刪除在日志服務(wù)器上不能同時發(fā)生，特別是當你限制用戶訪問日志服務(wù)器時。&#

39、160;   配置Syslog服務(wù)器：在默認情況下，syslog并不會接受遠程客戶端的信息，要激活它，RedHat/Fedora中需要修改/etc/sysconfig/syslog文件，在SYSLOGD_OPTIONS參數(shù)中增加-r選項，以允許記錄遠程機器的信息。Debian/Ubuntu中則是修改/etc/default/syslogd文件中的SYSLOGD參數(shù)，也可直接編輯syslog啟動腳本/etc/init.d/sysklogd，將SYSLOGD的參數(shù)定義為“-r”。修改完后要重啟syslog服務(wù)。    配置客戶端：syslog服務(wù)器

40、現(xiàn)在可以接受syslog信息了。你還要設(shè)置好遠程linux客戶端以向服務(wù)器發(fā)送信息。假設(shè)客戶端主機名為smallfry，可通過編輯/etc/hosts文件來實現(xiàn)。    （1）確定遠程服務(wù)器的IP地址和有效的域名。    （2）在客戶端班機的/etc/hosts文件中加入遠程服務(wù)器的描述：IP地址 完整域名 服務(wù)器名 “別名”，例如00 bigboy.my- bigboy loghost，這樣為服務(wù)器主機bigboy設(shè)置了一個別名loghost。    （3）編輯客戶端的/etc/s

41、yslog.conf文件，使得syslog信息能發(fā)送到你新設(shè)置的日志服務(wù)器loghost上。*.debug loghost*.debug /var/log/messages    重啟syslog服務(wù)，現(xiàn)在你的機器將會將所有“調(diào)試”級別及以上級別的信息同時發(fā)送到服務(wù)器bigboy和本地文件/var/log/messeges上。你可以做個簡單測試看看syslog服務(wù)器是否在接受你的信息了。比如重啟一下lpd打印機守護進程，看看能否在服務(wù)器上看到相關(guān)日志消息。    3、配置文件/etc/logrotate.conf： 它是logrota

42、te的一般性配置文件。你可以通過它設(shè)置哪個日志文件被循環(huán)重用以及多久重用一次。可以設(shè)定的循環(huán)參數(shù)有每周(weekly)或每天(daily)。rotate參數(shù)定義保留多少份日志文件備份，create參數(shù)指定在每輪循環(huán)后就新建空的日志文件。我的Ubuntu中默認的/etc/logrotate.conf內(nèi)容為：python view plaincopyprint?1. # 更多細節(jié)參考"man logrotate"   2. # 每周循環(huán)更新日志文件   3. weekly  4. #

43、60;保留4份日志文件的備份，若日志文件為logfile，則其備份   5. # 分別為logfile.0logfile3   6. rotate 4  7. # 在每輪循環(huán)后創(chuàng)建新的空白日志文件   8. create  9. # 如果你想壓縮日志文件，則取消下面注釋   10. #compress   11. # 一些使用syslog的軟件包會把日志輪轉(zhuǎn)信息放在這個目錄下，因此要包含進來  &

44、#160;12. include /etc/logrotate.d  13. # 沒有軟件包擁有wtmp或btmp，我們將在這里輪轉(zhuǎn)   14. /var/log/wtmp   15.     missingok       # 如果日志文件丟失，使用下一個并且不發(fā)送任何錯誤消息   16.     monthly &

45、#160;       # 輪轉(zhuǎn)周期為每月   17.     create 0664 root utmp  # 創(chuàng)建新日志文件時，權(quán)限為0664，屬主為root，組為utmp   18.     rotate 1  19.   20. /var/log/btmp  &

46、#160;21.     missingok  22.     monthly  23.     create 0664 root utmp  24.     rotate 1  25.   26. # 特定于系統(tǒng)的日志可以在這里配置    

47、0; 注意在Debian/Ubuntu系統(tǒng)中，/etc/cron.daily.sysklogd腳本將讀取/etc/syslog.conf文件，并根據(jù)它輪轉(zhuǎn)所有設(shè)定的日志文件。所以，對于一般的系統(tǒng)日志，你不必再在/etc/logrotate.d文件夾中重復(fù)設(shè)定了。因為在 /etc/cron.daily文件夾中它沒24小時便運行一次。在Fedora/Redhat系統(tǒng)中，這個腳本被/etc/cron.daily/logrotate取代，而且它不讀取syslog配置文件。所以，你必須在/etc/logrotate.d設(shè)置好。    對logrotate的設(shè)置只有在你使用l

48、ogrotate -f命令時才會生效。如果你想讓logrotate只讀取特定的配置文件而不是所有，把配置文件名作為logrotate的參數(shù)運行即可，如logrotate -f /etc/logrotate.d/syslog。如果你的網(wǎng)頁訪問量比較高，那么日志文件將變得異常大。你可以通過編輯logrotate.conf文件加入壓縮選項compress來實現(xiàn)對日志文件的壓縮。這些日志文件將用gzip來壓縮，所有的文件將會有一個.gz的擴展名。查看這些文件的內(nèi)容依然很容易，因為你可以用zcat命令快速的將它們的內(nèi)容顯示在屏幕上。    Syslog服務(wù)器的一個缺點是沒有

49、把不良來源的消息過濾掉。因此，當你的的服務(wù)器位于一個不安全的網(wǎng)絡(luò)時，使用TCP wrappers軟件或防火墻來限制可以接受的消息來源是一個明智的舉措。這將有助于限制拒絕服務(wù)攻擊的成效，這種拒絕服務(wù)攻擊的目的是填塞你的服務(wù)器的硬盤或加重其他系統(tǒng)資源負擔，它有可能最終導(dǎo)致服務(wù)器崩潰。     現(xiàn)在使用越來越廣泛的syslog-ng程序結(jié)合了logrotate和syslog的特性，它能給用戶提供更多的自定義功能，從功能上也更加豐富了。如果你想使用它，可到上去下載安裝，其配置文件為/etc/syslog-ng/syslog-ng.conf。對應(yīng)的CentOS 6.x也就可

50、能使用！下載地址：第一步：安裝wget wget tar xvf eventlog_0.2.12+20120504+1700.tar.gz cd eventlog-0.2.12+20120504+1700./configure -prefix=/usr/local/services/eventlog make make install cd .tar -xvf syslog-ng_.tar.gz cd syslog-ng-/export PKG_CONFIG_PATH=/usr/local/services/even

51、tlog/lib/pkgconfig ./configure -prefix=/usr/local/services/syslog-ng#如果提示no package 'glib-2.0' found centos#那么就用yum install libgnomeui-develmakemake install第二步：添加服務(wù)配置將syslog-ng添加為系統(tǒng)服務(wù), vim /etc/init.d/syslog-ng  #內(nèi)容如下 #!/bin/bash #  # chkconfig: -  60 27

52、60;# description: syslog-ng SysV script.  . /etc/rc.d/init.d/functions  syslog_ng=/usr/local/services/syslog-ng/sbin/syslog-ng prog=syslog-ng pidfile=/usr/local/services/syslog-ng/var/syslog-ng.pid lockfile=/usr/local/services/syslog-ng/var/syslog-ng.lock RETVAL=0&

53、#160;STOP_TIMEOUT=$STOP_TIMEOUT-10  start()          echo -n $"Starting $prog: "         daemon -pidfile=$pidfile $syslog_ng $OPTIONS         RETVAL=$?         echo  

54、60;     $RETVAL = 0 && touch $lockfile         return $RETVAL   stop()      echo -n $"Stopping $prog: "     killproc -p $pidfile -d $STOP_TIMEOUT $syslog_ng     RETVAL=$?   

55、0; echo     $RETVAL = 0 && rm -f $lockfile $pidfile   case "$1" in   start)     start     ;   stop)     stop     ;   status)         stat

56、us -p $pidfile $syslog_ng     RETVAL=$?     ;   restart)     stop     start     ;   *)     echo $"Usage: $prog start|stop|restart|status"     RETVAL=2 esac 

57、;exit $RETVAL #啟動服務(wù)chmod a+x /etc/init.d/syslog-ng killall syslogd chkconfig -add syslog-ng chkconfig syslog-ng on service syslog-ng start 第三步：實際配置命令 vi /usr/local/services/syslog-ng/etc/syslog-ng.conf# # Default syslog-ng.conf file which collects all local logs in

58、to a# single file called /var/log/messages.#version: 3.5include "scl.conf"options         create_dirs(yes);        dir_perm(0755);        use_dns(no);        perm(0644);        chain_hostnames(off);        stats_freq(30);source s_local         system();        internal();source s_net