linux安全---远程日志管理

标签：linux安全---远程日志管理   日志   远程   

远程日志管理：

S:192.168.10.115

C:192.168.10.43

1.S,C端安装rsyslog

yum  -y  install  rsyslog

2.修改S端配置监听514端口，提供远程日志存放。

vi  /etc/rsyslog.conf   ##去掉13,14,17,18的注释

12 # Provides UDP syslog reception

13 $ModLoad imudp

14 $UDPServerRun 514

15 

16 # Provides TCP syslog reception

17 $ModLoad imtcp

18 $InputTCPServerRun 514

:wq

[root@ipa ~]# vi  /etc/rsyslog.d/remote.conf    ##新建 

:fromhost,isequal, "192.168.10.43" /var/log/remote_10.43.log    ##指定客户端日志存放位置

:fromhost,isequal, "192.168.10.43" ##指定客户端ip

:wq

/etc/init.d/rsyslog  restart

netstat  -uptln  |grep  514   

tail  -f  /var/log/remote_10.43.log   ##跟踪变化

/etc/init.d/iptables  stop  ##关闭iptables

3.修改C端日志存放位置

vi  /etc/rsyslog.conf 

*.* @@192.168.10.115:514  ##在最后一行添加，将本机的所有日志存放到S端

:34,63 s/^/#/g     ##在末行模式中给34-63行加注释，取消掉原有的日志存放规则

:wq

/etc/init.d/rsyslog   restart

4.验证

C端：

logger  “test log remote”

S端观察/var/log/remote_10.43.log变化，是否记录

5.扩展：

lastb 查看登录失败日志

last  查看登录成功日志

/var/log/secure  ##登录日志

统一存放的日志可以使用awstats分析。

audit日志不归rsyslog管理，上述配置不能实现audit日志远程存放；audit审计日志，包selinux，权限修改等。

本文出自 “LP-linux” 博客，请务必保留此出处http://linuxlp.blog.51cto.com/11463376/1773690

linux安全---远程日志管理

标签：linux安全---远程日志管理   日志   远程   

原文地址：http://linuxlp.blog.51cto.com/11463376/1773690