《syslog日志服务器配置步骤.doc》由会员分享,可在线阅读,更多相关《syslog日志服务器配置步骤.doc(5页珍藏版)》请在金锄头文库上搜索。
1、syslog日志服务器配置步骤一作用Linux 系统的日志主要分为两种类型 :1. 进程所属日志: 由用户进程或其他系统服务进程自行生成的日志,比如服务器上的 access_log 与 error_log 日志文件。2. syslog 消息: 系统syslog 记录的日志,任何希望记录日志的系统进程或者用户进程都可以给调用syslog来记录日志。Syslog程序就是用来记录这类日志的。syslog是Linux的日志子系统,日志文件详细地记录了系统每天发生的各种各样的事件。用户可以通过日志文件检查错误产生的原因,或者在受到攻击和黑客入侵时追踪攻击者的踪迹。日志的两个比较重要的作用是:审核和监测。
2、配置syslog中央服务器能够使所有服务器的系统信息都集中到某台特定的机器上,便于对集群中机器的管理与检查Linux系统所有的日志文件都在/var/log下,且必须有 root 权限才能察看。日志文件其实是纯文本的文件,每一行表示一个消息,而且都由四个域的固定格式组成:1. 时间标签 (timestamp ),表示消息发出的日期和时间。2. 主机名( hostname ),表示生成消息的计算 机的名字。如果只有一台计算机,主机名就可能没有必要了。但是如果在网络环境中使用 syslog,那么就可能要把不同主机的消息发送到一台服务器上集中处理。3. 生成消息的子系统的名字。可以是”kernel”,
3、表示消息来自内核;或者是进程的名字,表示发出消息的程序的名字。在方括号里的是进程的PID。4. 消息( message ),剩下的部分就是消息的内容。二 syslog配置文件syslog是Linux系统默认的日志守护进程。默认的syslog配置文件是/etc/syslog.conf文件。syslog守护进程是可配置的,它允许人们为每一种类型的系统信息精确地指定一个存放地点。现在,我们先看看syslog.conf文件的配置行格式(这个文件里的每一个配置行都是同样的格式),然后再看一个完整的syslog配置文件。syslog配置行的格式如下所示:mail.*/var/log/mail这一行由两个部
4、分组成。第一个部分是一个或多个“设备”;上例中的设备是“mail”。设备后面跟一些空格字符,然后是一个“操作动作”;上例中的操作动作是:/var/log/mail1设备设备本身分为两个字段,之间用一个小数点(.)分隔。前一字段是一项服务,后一字段是一个优先级。设备其实是对消息类型的一种分类,这种分类便于人们把不同类型的消息发送到不同的地方。在同一个syslog配置行上允许出现一个以上的设备,但必须用分号(;)把它们分隔开。上面给出的例子里只有一个设备“mail”。大家可以在后面给出的那个完整的syslog配置文件示例里看到同时有多个设备的配置行。下面列出了绝大多数Linux操作系统变体都可以识
5、别的设备。auth 由 pam_pwdb 报告的认证活动。authpriv 包括特权信息如用户名在内的认证活动cron 与 cron 和 at 有关的计划任务信息。daemon 与 inetd 守护进程有关的后台进程信息。kern 内核信息,首先通过 klogd 传递。lpr 与打印服务有关的信息。mail 与电子邮件有关的信息mark syslog内部功能用于生成时间戳news 来自新闻服务器的信息syslog 由 syslog 生成的信息user 由用户程序生成的信息uucp 由 uucp 生成的信息local0-local7 与自定义程序使用* 通配符代表除了 mark 以外的所有功能。
6、除mark为内部使用外,还有security为一个旧的key定义,等同于auth,已经不再建议使用。2 优先级优先级是选择条件的第二个字段,它代表消息的紧急程度。对一个应用程序来说,它发出的哪些消息属于哪一种优先级是由当初编写它的程序员决定的,应用程序的使用者只能接受这样的安排除非打算重新编译系统应用程序。表2按严重程度由低到高的顺序列出了所有可能的优先级。 不同的服务类型有不同的优先级,数值较大的优先级涵盖数值较小的优先级。如果某个选择条件只给出了一个优先级而没有使用任何优先级限定符,对应于这个优先级的消息以及所有更紧急的消息类型都将包括在内。比如说,如果某个选择条件里的优先级是“warni
7、ng”,它实际上将把“warning”、“err”、“crit”、“alert”和“emerg”都包括在内。level级别level定义消息的紧急程度。按严重程度由高到低顺序排列为:emerg 该系统不可用,等同panicalert 需要立即被修改的条件crit 阻止某些工具或子系统功能实现的错误条件err 阻止工具或某些子系统部分功能实现的错误条件,等同errorwarning 预警信息,等同warnnotice 具有重要性的普通条件info 提供信息的消息debug 不包含函数条件或问题的其他信息none 没有重要级,通常用于排错3优先级限定符syslog允许人们使用三种限定符对优先级进行
8、修饰:星号(*)、等号(=)和叹号(!)。熟悉规则表达式的读者应该对这三种限定符不会感到陌生。星号(*)的含义是“把本项服务生成的所有日志消息都发送到操作动作指定的地点”。就像它在规则表达式里的作用一样,星号代表“任何东西”。在前面给出的例子里,“mail.*”将把所有优先级的消息都发送到操作动作指定的/var/log/mail文件里。使用“*”限定符与使用“debug”优先级的效果完全一样,后者也将把所有类型的消息发送到指定地点。等号(=)的含义是“只把本项服务生成的本优先级的日志消息都发送到操作动作指定的地点”。比如说,可以用“=”限定符只发送调试消息而不发送其他更紧急的消息(这将为应用程
9、序减轻很多负担)。当你只需要发送特定优先级别的消息时,就要使用等号限定符。就像它在编程时的用法一样,等号意味着等于且仅等于。叹号(!)的含义是“把本项服务生成的所有日志消息都发送到操作动作指定的地点,但本优先级的消息不包括在内”。比如说,这条syslog配置行将把除info优先级以外的所有消息发送到/var/log/mail文件里:mail.*;mail.!info/var/log/mail在这个例子里,“mail.*”将发送所有的消息,但“mail.!info”却把info优先级的消息排除在外。就像它在编程时的用法一样,叹号意味着“非”。4 操作动作日志信息可以分别记录到多个文件里,还可以发
10、送到命名管道、其他程序甚至另一台机器。syslog配置文件并不复杂,既容易阅读又容易操作使用。这个文件里的注释都非常有用,应该好好读读它们。三、 建立一个中央日志服务器建立中央日志服务器前的准备工作配置良好的网络服务(DNS和NTP)有助于提高日志记录工作的精确性。在默认情况下,当有其他机器向自己发送日志消息时,中央日志服务器将尝试解析该机器的FQDN(fully qualified domain name,完整域名)。(你可以在配置中央服务器时用“-x”选项禁止它这样做。)如果syslog守护进程无法解析出那个地址,它将继续尝试,这种毫无必要的额外负担将大幅降低日志记录工作的效率。类似地,如
11、果你的各个系统在时间上不同步,中央日志服务器给某个事件打上的时间戳就可能会与发送该事件的那台机器打上的时间戳不一致,这种差异会在你对事件进行排序分析时带来很大的困扰;对网络时间进行同步有助于保证日志消息的时间准确性。如果想消除这种时间不同步带来的麻烦,先编辑/etc/ntp.conf文件,使其指向一个中央时间源,再安排ntpd守护进程随系统开机启动就可以了。只须稍加配置,就可以用syslog实现一个中央日志服务器。任何一台运行syslog守护进程的服务器都可以被配置成接受来自另一台机器的消息,但这个选项在默认情况下是禁用的。1. 编辑/etc/sysconfig/syslog文件。在“SYSL
12、OGD_OPTIONS”行上加“-r”选项以允许接受外来日志消息。如果因为关于其他机器的DNS记录项不够齐全或其他原因不想让中央日志服务器解析其他机器的FQDN,还可以加上“-x”选项。此外,你或许还想把默认的时间戳标记消息(-MARK-)出现频率改成比较有实际意义的数值,比如240,表示每隔240分钟(每天6次)在日志文件里增加一行时间戳消息。日志文件里的“-MARK-”消息可以让你知道中央日志服务器上的syslog守护进程没有停工偷懒。按照上面这些解释写出来的配置行应该是如下所示的样子:vim /etc/sysconfig/syslogSYSLOGD_OPTIONS=-r -x -m 24
13、0(空格一定要有)要设置只接受某个域名发送过来的日志,就在这个变量中多加一个参数。SYSLOGD_OPTIONS=-r -s 192.168.0.2如果要指定多个域名,每个域名之间用冒号分隔:SYSLOGD_OPTIONS=-r -s 192.168.0.2:192.168.0.32.重新启动syslog守护进程。修改只有在syslog守护进程重新启动后才会生效。如果你只想重新启动syslog守护进程而不是整个系统,在RedHat机器上,执行以下两条命令之一:/etc/rc.d/init.d/syslog stop;/etc/rc.d/init.d/syslog start/etc/rc.d/
14、init.d/syslog restart3.如果这台机器上运行着iptables防火墙或TCPWrappers,请确保它们允许514号端口上的连接通过。syslog守护进程要用到514号端口。四客户端机器配置让客户机把日志消息发往一个中央日志服务器并不困难。编辑客户机上的/etc/syslog.conf文件,在有关配置行的操作动作部分用一个“”字符指向中央日志服务器,如下所示:authpriv.*192.168.1.40另一种办法是在DNS里定义一个名为“loghost”的机器,然后对客户机的syslog配置文件做如下修改(这个办法的好处是:当你把中央日志服务器换成另一台机器时,不用再修改每
15、一个客户机上的syslog配置文件):authpriv.*loghost接下来,重新启动客户机上的syslog守护进程让修改生效。让客户机在往中央日志服务器发送日志消息的同时继续在本地进行日志工作仍有必要,起码在调试客户机的时候不必到中央日志服务器查日志,在中央日志服务器出问题的时候还可以帮助调试。例子:vim /etc/syslog.conf需要的信息配置行后面的路径改为serverIP如*.info;mail.none;news.none;authpriv.none;cron.none /var/log/messages改为*.info;mail.none;news.none;authpriv.none;cron.none 192.168.0.27如果想往中央服务器传递消息的同时在本地也生成消息,则两条都同时保留*.info;mail.none;news.none;authpriv.none;cron.none /var/log/messages*.info;mail.none;news.none;authpriv.none;cron.none 192.16
