syslogd server 做法 (教学)

Home Home

引用 | 编辑 love104
2005-08-08 10:41

楼主
▼

转贴文章：酷学园 http://phorum.study-area.org/

我想有些人可能都管着数部的 Unix-Like 的机器吧
我自己为例,要 handle 的机器至少超过 30 部,其中以
Linux 为主,但是也有 Sun/IRIX/FreeBSD,所以一些
日常的 Log 简直非人力所能及...(至少总合超过 1G/天)
更何况其分布那么广...

所以,在做 log 的分析前,首先要考虑的是如何集中这些 log
详细的作法你可以 man syslogd 或 man syslogd.conf
我是只看这两个就学会了,多花点时间看 man page 很多东西都
比书本上详细许多哦 ~~

先讲 server 的部份吧 ~~
很简单
syslogd -r 就可以启动了,但是建议你 syslogd.conf 还是调一下较好
因为如果你的机器一多, messages 这个档案会大很快做一些简单的分类即可
亦请记得替 /etc/rc.d/init.d/syslogd 这个 script 中的 syslogd 加上
以免下次开机失效

#/etc/syslogd.conf
# kern 的讯息要显示在 terminal tty1 上就是这一台机器
kern.* /dev/tty1
#kern 也要存起来
kern.* /var/log/kernel
#下message 你自己看调不调吧,我是没有调,但我觉得还是调一下较好
*.info;mail.none;news.none;authpriv.none;cron.none /var/log/messages
authpriv.* /var/log/secure
mail.* /var/log/maillog
cron.* /var/log/cron
#同 kernel 处
*.emerg /dev/tty1
*.emerg /var/log/critical
*.crit /dev/tty1
*.crit /var/log/critical
#localN 在 linux 上很多没有用,但是在其他的unix平台上有的服务会用到
local1.* /var/log/local1
local2.* /var/log/local2
local3.* /var/log/local3
local4.* /var/log/local4
local5.* /var/log/local5
local6.* /var/log/local6
local7.* /var/log/local7

其实就算你不改也没有关系,看你自己的需求了

syslogd 的 client 端
#/etc/syslogd.conf
# 你原来的设定
*.info;mail.none;authpriv.none;cron.none /var/log/messages
改成
*.info;mail.none;authpriv.none;cron.none @log_server_ip

其他项目请自行参照
重新启动就会生效了
请注意, syslogd 预设是走 514/udp 的 port , firewall 处请自行对应

log 的样子,比原来的样子多了一个 hostname
Jun 18 23:36:58 host1 named[2882]: client 140.127.183.160#2139: update forwarding denied
Jun 18 23:36:58 host1 named[2882]: client 218.162.43.119#4109: update forwarding denied
Jun 18 23:39:48 host2 Snort Realtime Performance (Wed Jun 18 23:39:48 2003)
Jun 18 23:39:48 host2 Protocol Byte Flows - %Total Flow
Jun 18 23:39:48 host2 PacketLen - %TotalPackets
Jun 18 23:37:05 host3 named[11739]: client 210.66.152.116#61972: updating zone 'himark.com.tw/IN': update failed: 'RRset exists (value dependent)' prerequisite not satisfied (NXRRSET)

好了, log 集中了你就可以开始分析的工作了, 还可以避免原机器入侵后给你删除syslog
的困扰...(很多 wrom 是直接 rm -f /var/log/ 的),分析的工具你可以到
http://www.securityfocus.com/tools/category/1
多的让你试不完 ...一切看你的需求而定
了 ?

引用 \| 编辑 graceman 2005-08-24 23:55	1楼 ▲ ▼
感谢大大分享, 受益很多 x0

引用 \| 编辑 anchi66 2005-12-03 15:07	2楼 ▲ ▼
很有用的教学.. 真感谢您的提供.. 学到不少..谢谢..^^ x0

引用 \| 编辑 mnbmnb5266 2010-08-25 19:50	3楼 ▲
谢谢大大的教学。里面有不少我不明白的地方 x0