前言
随着机房内的服务器和网络设备增加,日志管理和查询就成了让系统管理员头疼的事。
系统管理员遇到的常见问题如下:
1、日常维护过程中不可能登录到每一台服务器和设备上去查看日志;
2、网络设备上的存储空间有限,不可能存储日期太长的日志,而系统出现问题又有可能是很久以前发生的某些操作造成的;
3、在某些非法入侵的情况下,入侵者一般都会清除本地日志,清除入侵痕迹;
3、zabbix等监控系统无法代替日志管理,无法监控如系统登录、计划任务执行等项目。
基于上述原因,在当前的网络环境中搭建一台用于日志集中管理的日志服务器是很有必要的。
实验
一、实验目的:
搭建一台用于日志集中管理的日志服务器
二、实验环境:
两台Centos6.5 虚拟机
服务端ip:192.168.43.175
客户端ip:192.168.43.51
三、实验步骤:
Step1:配置服务器配置文件(ip:192.168.43.175)
语法:
[root@localhost ~]# vi /etc/rsyslog.conf
#去注释
$ModLoad imudp
$UDPServerRun 514
$ModLoad imtcp
$InputTCPServerRun 514
#添加
$AllowedSender tcp, 192.168.30.0/24 #客户端网段
$template Remote,"/data/log/%fromhost-ip%/%fromhost-ip%_%$YEAR%-%$MONTH%-%$DAY%.log" #指定远程日志保存的路径与格式
:fromhost-ip, !isequal, "127.0.0.1" ?Remote
-
如图:
image.png
Step2:创建日志保存目录
语法:
[root@localhost ~]# mkdir -pv /data/log
-
如图:
image.png
Step3:重启日志服务器
语法:
[root@localhost ~]# service rsyslog restart
-
如图:
image.png
Step4:配置客户端配置文件,并重启日志服务器
语法:
[root@localhost ~]# vi /etc/rsyslog.conf
[root@localhost ~]# service rsyslog restart
-
如图:
image.png
四、实验测试:
Step1:关闭服务端(ip:192.168.43.175)防火墙
语法:
[root@localhost ~]# service iptables stop
-
如图:
image.png
Step2:关闭SELinux
语法:
[root@localhost ~]# setenforce 0
Step3:客户端(ip:192.168.43.51)发送日志
语法:
[root@localhost ~]# logger "test"
Step4:发现在服务端(ip:192.168.43.175)刚创建的日志目录/data/log/下收到了来自客户端(ip:192.168.43.51)发来的日志
-
如图:
image.png
image.png
小编也是小白写的不好见谅。
