導航:首頁 > IDC知識 > syslog伺服器軟體

syslog伺服器軟體

 發布時間:2021-01-10 21:27:39

1、如何在windows伺服器中使用syslog功能

方法/步驟:

1. 首先根據自己的windows系統的版本(32/64位),在網上下載相應的版本。我的系統為64位版本,因此下載64位版本;

2. 然後將下載後的軟體內的兩個文件evtsys.dll和evtsys.exe,拷貝到系統內c:windowssystem32目錄下;

3. 這一步找到命令提示符,右擊選擇以管理員身份運行。詳細操作如下圖所示;

4. 在操作窗口內,首先輸入cd c:windowssystem32 命令進入 c:windowssystem32目錄下,然後執行命令evtsys –i –h 192.168.2.104 。下面詳細介紹evtsys命令參數意思。

-i 表示安裝成系統服務

-h 指定log伺服器的IP地址

如要設置埠,在IP地址後加上自己要設置的埠就可以了。ip地址與埠之間要有空格隔開。默認不寫埠為514埠。

執行完以上命令後,evtsys已經安裝成功,且已經成功注冊到服務列表。

5. 在開始->運行 輸入 gpedit.msc。進入windows本地組策略編輯器,在該窗口內,選擇Windows設置->安全設置。打開你需要記錄的windows日誌。evtsys會實時的判斷是否有新的windows日誌產生,然後把新產生的日誌轉換成syslogd可識別的格式,通過UDP 514埠發送給syslogd伺服器;

6. 啟動服務。在以管理員身份運行的命令提示符窗口內,執行命令:net start evtsys即可啟動服務。接下來進行測試是否發送成功;

7. 打開syslogwatcher進行相應的設置,設置埠為514埠,接受字元碼為:UTF-8碼。然後點擊listen。進行監聽514埠。查看是否有windows日誌發出。

為測試效果明顯,可以重啟安裝evtsys的機器。(本次安裝syslogwatcher與evtsys不在同一台機器,便於測試)。

如重啟安裝evtsys的機器仍未看到日誌。則通過以下幾點進行排除。

1.確認接收日誌端的系統防火牆已經關閉。

2.確認安裝evtsys的機器,是否已經啟動該服務,如未啟動,在服務列表點擊啟動。

2、如何使用syslog向伺服器協議

Syslog是一種工業標準的協議,可用來記錄設備的日誌。
Ubuntu下安裝syslog apt-get install inetutils-syslogd

這裡面的三個函數openlog, syslog, closelog是一套系統日誌寫入介面。另外那個vsyslog和syslog功能一樣,只是參數格式不同。
通常,syslog守護進程讀取三種格式的記錄消息。此守護進程在啟動時讀一個配置文件。一般來說,其文件名為/etc/syslog.conf,該文件決定了不同種類的消息應送向何處。例如,緊急消息可被送向系統管理員(若已登錄),並在控制台上顯示,而警告消息則可記錄到一個文件中。該機制提供了 syslog函數,其調用格式如下
#include <syslog.h>
void openlog (char*ident,int option ,int facility);
void syslog(int priority,char*format,……)
void closelog();

調用openlog是可選擇的。如果不調用openlog,則在第一次調用syslog時,自動調用openlog。調用closelog也是可選擇的,它只是關閉被用於與syslog守護進程通信的描述符。調用openlog 使我們可以指定一個ident,以後, 此ident 將被加至每則記錄消息中。ident 一般是程序的名稱(例如 ,cron ,ine 等)

程序的用法示例代碼如下:

#include <syslog.h>
int main(int argc, char **argv)
{
openlog("MyMsgMARK", LOG_CONS | LOG_PID, 0);
syslog(LOG_DEBUG,
"This is a syslog test message generated by program '%s'\n",
argv[0]);
closelog();
return 0;
}

編譯生成可執行程序後,運行一次程序將向/var/log /message文件添加一行信息如下:
Feb 12 08:48:38 localhost MyMsgMARK[7085]: This is a syslog test message generated by program './a.out'

syslog函數及參數
syslog函數用於把日誌消息發給系統程序syslogd去記錄,此函數原型是:
void syslog(int priority, const char *format, ...);
第一個參數是消息的緊急級別,第二個參數是消息的格式,之後是格式對應的參數。就是printf函數一樣使用。

如果我們的程序要使用系統日誌功能,只需要在程序啟動時使用openlog函數來連接 syslogd程序,後面隨時用syslog函數寫日誌就行了。

下面介紹在RedHat和ubuntu中如何配置它:

Ubuntu和紅帽常使用它,並且通過文件/etc/rsyslog.conf進行管理。文件中包含許多指定的特殊系統日誌:有的是控制台方面的,有的是文件方面或其它主機的。

首先,我們需要載入合適的TCP和UDP插件以支持接收系統日誌。把下面的代碼添加到rsyslog.conf的頭部:

$modload imtcp

$modload imudp

$InputTCPServerRun 10514

$UDPServerRun 514

載入的這兩個模塊能支持監聽TCP和UDP的埠,並且指定哪個埠來接受事件,在這種情況下,使用TCP的10514埠和UDP的514埠。你需要確認一下本地防火牆(在你的主機和中央系統日誌伺服器之間的防火牆)

下面我們需要指定一些規則來告訴rSyslog在哪放輸入事件。如果你不添加任何規則,輸入事件將按照本地的規則進行處理,並且與本地主機的事件交織在一起。我們需要在上面添加節之後和本地處理系統日誌之前來正確的指定這個規則,例如:

if $fromhost-ip isequal '192.168.0.2' then /var/log/192.168.0.2.log

& ~

這里我們說的每一個來自於192.168.0.2的系統日誌都應該保存在/var/log/192.168.0.2.log文件中。&~這個符號是非常重要的,因為它告訴rSyslog將停止處理消息。如果你把它忘寫了,消息將越過下一個規則,並且繼續處理。在這一規則中還有其他的變數。例如:

if $fromhost-ip startswith '192.168.' then /var/log/192.168.log

& ~

這里我們用192.168.*替代了以這個為開始的所有IP地址,寫入到/var/log/192.168.log文件中。你還可以看到一些其它的過濾。

你將需要重啟這個rsyslog服務來激活我們所做的新的配置:

$ sudo service rsyslog restart

現在,對於發送方的主機,我們還需要對文件rsyslog.conf進行一些更改,在文件的頭部,添加下面這行:

*.* @@192.168.0.1:10514

這是發送的所有事件,來自於所有源代碼和所有重要級別(用*.*),通過TCP協議傳給IP地址為192.168.0.1的10514埠。你可是用你所在環境的地址來替換這個IP地址。要啟用此配置,你將需要重啟主機上的rSyslog。

你可以通過SSL/TLS更進一步地發送你的系統日誌。如果你在互聯網上或其它網路間傳輸系統日誌,這也沒什麼壞處,你可能會發現這個的簡單說明。

現在,如果給你的配置管理系統(如果不使用這個,你可以試一試Puppet或Cfengine工具)添加這個配置,然後,您可以用適當的系統日誌來有效地配置每台主機,以確保你的日誌將被發送到中央系統日誌伺服器。

3、如何將Linux主機設置成syslog伺服器

鳥哥在書中介紹了這樣的一種環境。 辦公室內有10台Linux主機,每一台負責一個網路服務。為了無需登錄每台主機去查看登錄文件,需要設置一台syslog伺服器,其他主機的登錄文件都發給它。這樣做的話,只需要登錄到syslog伺服器上就能查看所有主機的登錄文件。 RedHat上的設置方法,鳥哥已經介紹了。 【伺服器端】step 1:查看伺服器是否開啟了UDP 514埠 grep '514' /etc/services step 2:修改syslogd的啟動設置文件/etc/sysconfig/syslog 將SYSLOGD_OPTIONS="-m 0"修改成SYSLOGD_OPTIONS="-m 0 -r" step 3:重啟syslogd服務 /etc/init.d/syslog restart 重啟後,你會發現UDP 514埠已經打開。 Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program nameudp 0 0 0.0.0.0:514 0.0.0.0:* 5628/syslogd 【客戶端】step 1:在/etc/syslog.conf中,添加下行。 user.* @192.168.0.Y # syslog伺服器的IP地址 在Ubuntu中配置syslogd伺服器的方法類似。 step 1:查看伺服器是否開啟了UDP 514埠,有下面一行說明埠514被打開,沒有需要加入 # grep '514' /etc/services 184:shell 514/tcp cmd # no passwords used185:syslog 514/udp step 2: 修改/etc/init.d/sysklogd,將SYSLOGD=""修改成SYSLOGD=" -r" step 3: 修改/etc/default/syslogd,將SYSLOGD=""修改成SYSLOGD=" -r" step 4: 重啟服務 /etc/init.d/sysklogd restart step 5: 驗證 在/var/log/messages中找到 May 1 23:31:59 flagonxia-desktop syslogd 1.5.0#5ubuntu3: restart (remote reception) # netstat -tlunp 得到syslogd服務正在監聽埠514 udp 0 0 0.0.0.0:514 0.0.0.0:* 3912/syslogd step 6: 假設syslog伺服器的IP地址:192.168.1.25,在其他主機上的/etc/syslog.conf中加入 *.* @192.168.1.25 註:/etc/syslog.conf文件的解析日誌文件按/etc/syslog.conf 配置文件中的描述進行組織。下圖是/etc/syslog.conf 文件的內容:[root@localhost ~]# cat /etc/syslog.conf# Log all kernel messages to the console.# Logging much else clutters up the screen.#kern.* /dev/console# Log anything (except mail) of level info or higher.# Don't log private authentication messages!*.info;mail.none;authpriv.none;cron.none /var/log/messages# The authpriv file has restricted access.authpriv.* /var/log/secure# Log all the mail messages in one place.mail.* -/var/log/maillog# Log cron stuffcron.* /var/log/cron# Everybody gets emergency messages*.emerg *# Save news errors of level crit and higher in a special file.uucp,news.crit /var/log/spooler# Save boot messages also to boot.loglocal7.* /var/log/boot.logsyslog.conf 行的基本語法是: [ 消息類型][ 處理方案] 注意:中間的分隔符必須是Tab 字元!消息類型是由" 消息來源" 和" 緊急程度" 構成,中間用點號連接。例如上圖中,news.crit 表示來自news 的「 關鍵」 狀況。在這里,news是消息來源,crit 代表關鍵狀況。通配符* 可以代表一切消息來源。 說明:第一條語句*.info ,將info 級以上(notice,warning,err,crit,alert 與emerg )的所有消息發送到相應日誌文件。日誌文件類別(按重要程度分類)日誌文件可以分成八大類,下面按重要性從大到下列出:emerg emergency ,緊急alert 警報crit critical ,關鍵errerror ,錯誤warning 警告notice 通知info 信息debug 調試簡單列一下消息來源auth 認證系統,如login 或su ,即詢問用戶名和口令cron 系統執行定時任務時發出的信息daemon 某些系統的守護程序的 syslog ,如由in.ftpd 產生的logkern 內核的信息lpr 列印機的信息mail 處理郵件的守護進程發出的信息mark 定時發送消息的時標程序news 新聞組的守護進程的信息user 本地用戶的應用程序的信息uucp uucp 子系統的信息* 表示所有可能的信息來源處理方案" 處理方案" 選項可以對日誌進行處理。可以把它存入硬碟,轉發到另一台機器或顯示在管理員的終端上。處理方案一覽:文件名 寫入某個文件,要注意絕對路徑。 @ 主機名 轉發給另外一台主機的syslogd 程序。@IP 地址 同上,只是用IP 地址標識而已。/dev/console 發送到本地機器屏幕上。* 發送到所有用戶的終端上。 | 程序 通過管道轉發給某個程序。例如:kern.emerg /dev/console( 一旦發生內核的緊急狀況,立刻把信息顯示在控制台上) 說明: 如果想修改syslogd 的記錄文件,首先你必須殺掉syslogd 進程,在修改完畢後再啟動syslogd 。攻擊者進入系統後通常立刻修改系統日誌,因此作為網管你應該用一台機器專門處理日誌信息,其他機器的日誌自動轉發到它上面,這樣日誌信息一旦產生就立刻被轉移,這樣就可以正確記錄攻擊者的行為。

4、如何在windows2008建立syslog伺服器

我們需要測試一種集中日誌系統,要在Windows上建立一個類Linux下的集中日誌系統。

經過比較Winsyslog和Kiwisyslog等工具,最終選定Kiwisyslog(http://www.kiwisyslog.com/),它不僅功能齊全,而且提供免費的版本。

Kiwisyslog遵循標準的日誌協議(RFC 3164),並支持UDP/TCP/SNMP幾種方式的日誌輸入。它默認是個免費的功能受限版(但功能基本夠用了,只是沒有找到漢化),自帶發送模擬器﹑日誌瀏覽器等實用工具。

我還測試了一下把ACE日誌寫到syslog的功能。過程記錄如下:


1)使用klog工具

這個主要用到kiwisyslog的klog實用工具(這個工具同時提供dll庫的調用方式,真是好東西,我決定以後在我的應用里都用它!),它支持直接或用重定向的方法輸出日誌到kiwisyslog。

klog –m "It's almost lunchtime"

DIR *.* | klog -h 192.168.1.2 -i


但我試圖使用ACE應用日誌輸出到kiwisyslog時(ace_app.exe | klog -h 192.168.1.2 -i的形式),發現日誌內容里前後有亂碼出現,即ACE的日誌輸出直接重定向到klog再轉到kiwisyslog有問題;並且不能按時間一行一行的輸出,而是等應用程序執行結束時一股腦輸出到kiwisyslog(按回車換行切開成一條一條日誌)。如果程序非正常結束,還不能將輸出日誌內容傳到 kiwisyslog。


還有一個方法是在Windows通過設置可以把ACE日誌輸出到系統日誌裡面。

ACE_LOG_MSG->set_flags(ACE_Log_Msg::SYSLOG);

然後按下面2)的方法轉到kiwisyslog。


2)還可以把Windows下的事件日誌轉到Linux下的syslog

我們需要第三方的軟體來將windows的日誌轉換成syslog類型的日誌後,轉發給syslog伺服器。

介紹第三方軟體evtsys (全稱是evntlog to syslog)

文件才幾十K大小,非常小巧,解壓後是兩個文件evtsys.dll和evtsys.exe

把這兩個文件拷貝到 c:/windows/system32目錄下。

打開Windows命令提示符(開始->運行輸入CMD)

C:/>evtsys –i –h 192.168.10.100

-i 表示安裝成系統服務

-h 指定log伺服器的IP地址

如果要卸載evtsys,則:

net stop evtsys

evtsys -u

啟動該服務:

C:/>net start evtsys

打開windows組策略編輯器 (開始->運行輸入 gpedit.msc)

在windows設置-> 安全設置-> 本地策略->審核策略中,打開你需要記錄的windows日誌。evtsys會實時的判斷是否有新的windows日誌產生,然後把新產生的日誌轉換成syslogd可識別的格式,通過UDP 3072埠發送給syslogd伺服器。

5、如何在windows伺服器中使用syslog功能?

方法/步驟:

1. 首先根據自己的windows系統的版本(32/64位),在網上下載相應的版本。我的系統為64位版本,因此下載64位版本;

2. 然後將下載後的軟體內的兩個文件evtsys.dll和evtsys.exe,拷貝到系統內c:windowssystem32目錄下;

3. 這一步找到命令提示符,右擊選擇以管理員身份運行。詳細操作如下圖所示;

4. 在操作窗口內,首先輸入cd c:windowssystem32 命令進入 c:windowssystem32目錄下,然後執行命令evtsys –i –h 192.168.2.104 。下面詳細介紹evtsys命令參數意思。

-i 表示安裝成系統服務

-h 指定log伺服器的IP地址

如要設置埠,在IP地址後加上自己要設置的埠就可以了。ip地址與埠之間要有空格隔開。默認不寫埠為514埠。

執行完以上命令後,evtsys已經安裝成功,且已經成功注冊到服務列表。

5. 在開始->運行 輸入 gpedit.msc。進入windows本地組策略編輯器,在該窗口內,選擇Windows設置->安全設置。打開你需要記錄的windows日誌。evtsys會實時的判斷是否有新的windows日誌產生,然後把新產生的日誌轉換成syslogd可識別的格式,通過UDP 514埠發送給syslogd伺服器;

6. 啟動服務。在以管理員身份運行的命令提示符窗口內,執行命令:net start evtsys即可啟動服務。接下來進行測試是否發送成功;

7. 打開syslogwatcher進行相應的設置,設置埠為514埠,接受字元碼為:UTF-8碼。然後點擊listen。進行監聽514埠。查看是否有windows日誌發出。

為測試效果明顯,可以重啟安裝evtsys的機器。(本次安裝syslogwatcher與evtsys不在同一台機器,便於測試)。

如重啟安裝evtsys的機器仍未看到日誌。則通過以下幾點進行排除。

1.確認接收日誌端的系統防火牆已經關閉。

2.確認安裝evtsys的機器,是否已經啟動該服務,如未啟動,在服務列表點擊啟動。

6、如何在windows2008建立syslog伺服器

你好親,希望可以幫到你。個人意見僅供參考選擇在你。第一步:配置路由器A的Syslog伺服器。回WEB頁面中點擊 高級配置—> Syslog配置 ,打開「Syslog配置「啟用Syslog服務」,輸入遠程伺服器的答ip地址。需要注意的是,Syslog伺服器地址只能輸入IP地址,不可以輸入域名。所以遠程監控端最好是固定IP地址接入的。第二步:在路由器B上添加映射。由於Syslog伺服器在內網,所以需要在上級路由器添加Syslog服務的映射。上圖1中看到Syslog伺服器的埠為514,所以在路由器B上添加UDP514的埠映射,映射的IP就是安裝Syslog服務軟體的電腦的IP。在 轉發規則 —> 埠映射 頁面添加埠映射現在只需要在Syslog伺服器上啟用Syslog服務即可,

7、如何配置遠程SYSLOG伺服器

你好親,希望可以幫到你。個人意見僅供參考選擇在你。第一步:配置路由器A的Syslog伺服器。WEB頁面中點擊 高級配置—> Syslog配置 ,打開「Syslog配置「啟用Syslog服務」,輸入遠程伺服器的ip地址。需要注意的是,Syslog伺服器地址只能輸入IP地址,不可以輸入域名。所以遠程監控端最好是固定IP地址接入的。第二步:在路由器B上添加映射。由於Syslog伺服器在內網,所以需要在上級路由器添加Syslog服務的映射。上圖1中看到Syslog伺服器的埠為514,所以在路由器B上添加UDP514的埠映射,映射的IP就是安裝Syslog服務軟體的電腦的IP。在 轉發規則 —> 埠映射 頁面添加埠映射現在只需要在Syslog伺服器上啟用Syslog服務即可, 祝願親新年快樂,開開心心每一天。

8、想在公司內部搭建一個日誌伺服器,可以接收其他所有伺服器以及各種設備產生的日誌。不知道用什麼伺服器。

http://wenku.baidu.com/view/8053931cff00bed5b9f31d8a.html
詳細步驟

建立一個中央日誌伺服器

1建立中央日誌伺服器前的准備工作

配置良好的網路服務(DNS和NTP)有助於提高日誌記錄工作的精確性。在默認情況下,當有其他機器向自己發送日誌消息時,中央日誌伺服器將嘗試解析該機器的FQDN(fullyqualifieddomainname,完整域名)。(你可以在配置中央伺服器時用「-x」選項禁止它這樣做。)如果syslog守護進程無法解析出那個地址,它將繼續嘗試,這種毫無必要的額外負擔將大幅降低日誌記錄工作的效率。類似地,如果你的各個系統在時間上不同步,中央日誌伺服器給某個事件打上的時間戳就可能會與發送該事件的那台機器打上的時間戳不一致,這種差異會在你對事件進行排序分析時帶來很大的困擾;對網路時間進行同步有助於保證日誌消息的時間准確性。如果想消除這種時間不同步帶來的麻煩,先編輯/etc/ntp.conf文件,使其指向一個中央時間源,再安排ntpd守護進程隨系統開機啟動就可以了。

2配置一個中央日誌伺服器

只須稍加配置,就可以用syslog實現一個中央日誌伺服器。任何一台運行syslog守護進程的伺服器都可以被配置成接受來自另一台機器的消息,但這個選項在默認情況下是禁用的。在後面的討論里,如無特別說明,有關步驟將適用於包括SUSE和RedHat在內的大多數Linux發行版本。我們先來看看如何激活一個syslog伺服器接受外來的日誌消息:

1. 編輯/etc/sysconfig/syslog文件。

在「SYSLOGD_OPTIONS」行上加「-r」選項以允許接受外來日誌消息。如果因為關於其他機器的DNS記錄項不夠齊全或其他原因不想讓中央日誌伺服器解析其他機器的FQDN,還可以加上「-x」選項。此外,你或許還想把默認的時間戳標記消息(--MARK--)出現頻率改成比較有實際意義的數值,比如240,表示每隔240分鍾(每天6次)在日誌文件里增加一行時間戳消息。日誌文件里的「--MARK--」消息可以讓你知道中央日誌伺服器上的syslog守護進程沒有停工偷懶。按照上面這些解釋寫出來的配置行應該是如下所示的樣子:
SYSLOGD_OPTIONS="-r-x-m240"

2.重新啟動syslog守護進程。修改只有在syslog守護進程重新啟動後才會生效。如果你只想重新啟動syslog守護進程而不是整個系統,在RedHat機器上,執行以下兩條命令之一:
/etc/rc.d/init.d/syslogstop;/etc/rc.d/init.d/syslogstart
/etc/rc.d/init.d/syslogrestart

3.如果這台機器上運行著iptables防火牆或TCPWrappers,請確保它們允許514號埠上的連接通過。syslog守護進程要用到514號埠。

4為中央日誌伺服器配置各客戶機器

讓客戶機把日誌消息發往一個中央日誌伺服器並不困難。編輯客戶機上的/etc/syslog.conf文件,在有關配置行的操作動作部分用一個「@」字元指向中央日誌伺服器,如下所示:

另一種辦法是在DNS里定義一個名為「loghost」的機器,然後對客戶機的syslog配置文件做如下修改(這個辦法的好處是:當你把中央日誌伺服器換成另一台機器時,不用再修改每一個客戶機上的syslog配置文件):
authpriv.*@loghost

接下來,重新啟動客戶機上的syslog守護進程讓修改生效。讓客戶機在往中央日誌伺服器發送日誌消息的同時繼續在本地進行日誌工作仍有必要,起碼在調試客戶機的時候不必到中央日誌伺服器查日誌,在中央日誌伺服器出問題的時候還可以幫助調試。

9、如何將Linux主機設置成syslog伺服器?

鳥哥在書中介紹了這樣的一種環境。 辦公室內有10台Linux主機,每一台負責一個網路服務。為了無需登錄每台主機去查看登錄文件,需要設置一台syslog伺服器,其他主機的登錄文件都發給它。這樣做的話,只需要登錄到syslog伺服器上就能查看所有主機的登錄文件。 RedHat上的設置方法,鳥哥已經介紹了。 【伺服器端】step 1:查看伺服器是否開啟了UDP 514埠 grep '514' /etc/services step 2:修改syslogd的啟動設置文件/etc/sysconfig/syslog 將SYSLOGD_OPTIONS="-m 0"修改成SYSLOGD_OPTIONS="-m 0 -r" step 3:重啟syslogd服務 /etc/init.d/syslog restart 重啟後,你會發現UDP 514埠已經打開。 Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
udp 0 0 0.0.0.0:514 0.0.0.0:* 5628/syslogd 【客戶端】step 1:在/etc/syslog.conf中,添加下行。 user.* @192.168.0.Y # syslog伺服器的IP地址 在Ubuntu中配置syslogd伺服器的方法類似。 step 1:查看伺服器是否開啟了UDP 514埠,有下面一行說明埠514被打開,沒有需要加入 # grep '514' /etc/services 184:shell 514/tcp cmd # no passwords used
185:syslog 514/udp step 2: 修改/etc/init.d/sysklogd,將SYSLOGD=""修改成SYSLOGD=" -r" step 3: 修改/etc/default/syslogd,將SYSLOGD=""修改成SYSLOGD=" -r" step 4: 重啟服務 /etc/init.d/sysklogd restart step 5: 驗證 在/var/log/messages中找到 May 1 23:31:59 flagonxia-desktop syslogd 1.5.0#5ubuntu3: restart (remote reception) # netstat -tlunp 得到syslogd服務正在監聽埠514 udp 0 0 0.0.0.0:514 0.0.0.0:* 3912/syslogd step 6: 假設syslog伺服器的IP地址:192.168.1.25,在其他主機上的/etc/syslog.conf中加入 *.* @192.168.1.25 註:/etc/syslog.conf文件的解析日誌文件按/etc/syslog.conf 配置文件中的描述進行組織。下圖是/etc/syslog.conf 文件的內容:[root@localhost ~]# cat /etc/syslog.conf
# Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.* /dev/console
# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none /var/log/messages
# The authpriv file has restricted access.
authpriv.* /var/log/secure
# Log all the mail messages in one place.
mail.* -/var/log/maillog
# Log cron stuff
cron.* /var/log/cron
# Everybody gets emergency messages
*.emerg *# Save news errors of level crit and higher in a special file.
uucp,news.crit /var/log/spooler
# Save boot messages also to boot.log
local7.* /var/log/boot.log
syslog.conf 行的基本語法是: [ 消息類型][ 處理方案] 注意:中間的分隔符必須是Tab 字元!消息類型是由" 消息來源" 和" 緊急程度" 構成,中間用點號連接。例如上圖中,news.crit 表示來自news 的「 關鍵」 狀況。在這里,news是消息來源,crit 代表關鍵狀況。通配符* 可以代表一切消息來源。 說明:第一條語句*.info ,將info 級以上(notice,warning,err,crit,alert 與emerg )的所有消息發送到相應日誌文件。日誌文件類別(按重要程度分類)日誌文件可以分成八大類,下面按重要性從大到下列出:emerg emergency ,緊急alert 警報crit critical ,關鍵errerror ,錯誤warning 警告notice 通知info 信息debug 調試簡單列一下消息來源auth 認證系統,如login 或su ,即詢問用戶名和口令cron 系統執行定時任務時發出的信息daemon 某些系統的守護程序的 syslog ,如由in.ftpd 產生的log
kern 內核的信息lpr 列印機的信息mail 處理郵件的守護進程發出的信息mark 定時發送消息的時標程序news 新聞組的守護進程的信息user 本地用戶的應用程序的信息uucp uucp 子系統的信息* 表示所有可能的信息來源處理方案" 處理方案" 選項可以對日誌進行處理。可以把它存入硬碟,轉發到另一台機器或顯示在管理員的終端上。處理方案一覽:文件名 寫入某個文件,要注意絕對路徑。 @ 主機名 轉發給另外一台主機的syslogd 程序。@IP 地址 同上,只是用IP 地址標識而已。/dev/console 發送到本地機器屏幕上。* 發送到所有用戶的終端上。 | 程序 通過管道轉發給某個程序。例如:kern.emerg /dev/console( 一旦發生內核的緊急狀況,立刻把信息顯示在控制台上) 說明: 如果想修改syslogd 的記錄文件,首先你必須殺掉syslogd 進程,在修改完畢後再啟動syslogd 。攻擊者進入系統後通常立刻修改系統日誌,因此作為網管你應該用一台機器專門處理日誌信息,其他機器的日誌自動轉發到它上面,這樣日誌信息一旦產生就立刻被轉移,這樣就可以正確記錄攻擊者的行為。

10、如何向syslog伺服器發送日誌

您好,很高興為您解答。

參考一下:http://wenku.baidu.com/link?url=OsDiB-_Gmk2cGkEs6bsKQZ2E_

如若滿意,請點擊右側【採納答案】,如若還有問題,請點擊【追問】

希望我的回答對您有所幫助,望採納!

~ O(∩_∩)O~

與syslog伺服器軟體相關的知識