广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 5336 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
love104 手机
个人头像
个人文章 个人相簿 个人日记 个人地图
小人物
级别: 小人物 该用户目前不上站
推文 x0 鲜花 x4
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x0
[Linux] syslogd server 做法 (教学)
转贴文章:酷学园 http://phorum.stu...a.org/

我想有些人可能都管着数部的 Unix-Like 的机器吧
我自己为例,要 handle 的机器至少超过 30 部,其中以
Linux 为主,但是也有 Sun/IRIX/FreeBSD,所以一些
日常的 Log 简直非人力所能及...(至少总合超过 1G/天)
更何况其分布那么广...

所以,在做 log 的分析前,首先要考虑的是如何集中这些 log
详细的作法你可以 man syslogd 或 man syslogd.conf
我是只看这两个就学会了,多花点时间看 man page 很多东西都
比书本上详细许多哦 ~~

先讲 server 的部份吧 ~~
很简单
syslogd -r 就可以启动了,但是建议你 syslogd.conf 还是 调一下较好
因为如果你的机器一多, messages 这个档案会大很快做一些简单的分类即可
亦请记得替 /etc/rc.d/init.d/syslogd 这个 script 中的 syslogd 加上
以免下次开机失效

#/etc/syslogd.conf
# kern 的讯息要显示在 terminal tty1 上就是这一台机器
kern.* /dev/tty1
#kern 也要存起来
kern.* /var/log/kernel
#下message 你自己看调不调吧,我是没有调,但我觉得还是调一下较好
*.info;mail.none;news.none;authpriv.none;cron.none /var/log/messages
authpriv.* /var/log/secure
mail.* /var/log/maillog
cron.* /var/log/cron
#同 kernel 处
*.emerg /dev/tty1
*.emerg /var/log/critical
*.crit /dev/tty1
*.crit /var/log/critical
#localN 在 linux 上很多没有用,但是在其他的unix平台上有的服务会用到
local1.* /var/log/local1
local2.* /var/log/local2
local3.* /var/log/local3
local4.* /var/log/local4
local5.* /var/log/local5
local6.* /var/log/local6
local7.* /var/log/local7

其实就算你不改也没有关系,看你自己的需求了

syslogd 的 client 端
#/etc/syslogd.conf
# 你原来的设定
*.info;mail.none;authpriv.none;cron.none /var/log/messages
改成
*.info;mail.none;authpriv.none;cron.none @log_server_ip

其他项目请自行参照
重新启动就会生效了
请注意, syslogd 预设是走 514/udp 的 port , firewall 处请自行对应



log 的样子,比原来的样子多了一个 hostname
Jun 18 23:36:58 host1 named[2882]: client 140.127.183.160#2139: update forwarding denied
Jun 18 23:36:58 host1 named[2882]: client 218.162.43.119#4109: update forwarding denied
Jun 18 23:39:48 host2 Snort Realtime Performance (Wed Jun 18 23:39:48 2003)
Jun 18 23:39:48 host2 Protocol Byte Flows - %Total Flow
Jun 18 23:39:48 host2 PacketLen - %TotalPackets
Jun 18 23:37:05 host3 named[11739]: client 210.66.152.116#61972: updating zone 'himark.com.tw/IN': update failed: 'RRset exists (value dependent)' prerequisite not satisfied (NXRRSET)

好了, log 集中了你就可以开始分析的工作了, 还可以避免原机器入侵后给你删除syslog
的困扰...(很多 wrom 是直接 rm -f /var/log/ 的),分析的工具你可以到
http://www.securityfocus....category/1
多的让你试不完 ...一切看你的需求而定
了 ?



献花 x0 回到顶端 [楼 主] From:台湾数位联合 | Posted:2005-08-08 10:41 |
graceman
数位造型
个人文章 个人相簿 个人日记 个人地图
小人物
级别: 小人物 该用户目前不上站
推文 x0 鲜花 x4
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

感谢大大分享, 受益很多


献花 x0 回到顶端 [1 楼] From:台湾中华电信 | Posted:2005-08-24 23:55 |
anchi66
数位造型
个人文章 个人相簿 个人日记 个人地图
路人甲
级别: 路人甲 该用户目前不上站
推文 x0 鲜花 x0
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

很有用的教学..
真感谢您的提供..
学到不少..谢谢..^^


献花 x0 回到顶端 [2 楼] From:台湾台湾索尼 | Posted:2005-12-03 15:07 |
mnbmnb5266
个人文章 个人相簿 个人日记 个人地图
小有名气
级别: 小有名气 该用户目前不上站
推文 x5 鲜花 x46
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

谢谢大大的教学。里面有不少我不明白的地方


我的收藏
https://pan.baidu.com/s/1QUJ9lr_VzxXKRJAlBJgUQA
提取码:am2c
献花 x0 回到顶端 [3 楼] From:加拿大Rogers | Posted:2010-08-25 19:50 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.053495 second(s),query:16 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言