日志服务器.docVIP

日志服务器 今天看到李晨光兄，发了一篇Linux系统存储交换机日志,想到这几天一直在Freebsd上配置中央日志服务器，今天在他的基础上也来说说这个吧! 基础知识可以看李晨光兄写的[url]/350944/127050[/url],我今天着重讲 1 Freebsd下做中央日志服务器 2 收集交换机/路由器,linux,windows的日志 [过程] 以Freebsd7 或者其他版本，不过4好像出了点问题，现在还在调试 为日志服务器接收平台 Freebsd7日志服务器配置 将要收集的服务器添加到hosts文件中，作用看syslog.conf配置 1 /etc/hosts xxx.yyy.x.22 switch xxx.yyy.x.161 linux xxx.yyy.x.162 windows 开起freebsd接收远程的日志 这与linux不同，大家可以与李兄的文章比对下，嘿嘿! 2 /etc/rc.conf syslogd_flags -4 -a 0/0:* 执行/etc/netstart 修改后的参数说明： -4 只监听IPv4端口，如果你的网络是IPv6协议，可以换成-6 -a 0/0:* 接受来自所有网段所有端口发送过来的log信息。 为什么不指定端口，因为交换机和windows发送log的端口是高端口，所以不能限定端口 我就是因为这个，而在接收交换机的日志时，没有收到!大家注意，根据不同情况做不同的要求。而对linux来说，它没有这方面的说明，也就是默认 接收所有端口，相对而言，freebsd在这方面是比它安全的哟! 配置syslog.conf 3 /etc/syslog.conf +switch *.* /var/log/switch.log +linux authpriv.* /var/log/linux.log +windows deamon.* /var/log/windows.log 执行/etc/rc.d/syslogd restart 在这里 +[hostname] 指的是由这个 host 过来的信息利用以下 block 的方式记录 4 检查netstat -an，开起一个ipv4 udp 451端口 ps aux|grep syslogd 结果：/usr/sbin/syslogd -4 -a 0/0:* 5 余下工作 touch /var/log/switch.log linux.log windows.log 到这里，基本上是搞定了，大家可以用 tcpdump src host ip tail -f /var/log/switch.log 来观察喽.... 客户端配置 [I]交换机/路由器 大家参考李晨光的blog [II]linux 只需要修改下syslog.conf authpriv.* @ip ip为我那台freebsd中央日志服务器的IP [III]windows 对于UNIX类主机之间记录日志，由于协议、软件和日志信息格式等都大同小异，因此实现起来比较简单，但是windows的系统日志格式不同，日志记录软 件，方式等都不同。因此，我们需要第三方的软件来将windows的日志转换成syslog类型的日志后，转发给syslog服务器。 安装步骤 1 下载evtsys 全称是evntlog to syslog [url]/ECN/Resources/Documents/UNIX/evtsys[/url] 把这两个文件拷贝到 c:\windows\system32目录下。 打开Windows命令提示符（开始－ 运行 输入CMD） C:\ evtsys –i –h xxx.yyy.x.100 -i 表示安装成系统服务 -h 指定log服务器的IP地址 如果要卸载evtsys,则： net stop evtsys evtsys -u 启动该服务: C:\ net start evtsys 打开windows组策略编辑器 开始- 运行 输入 gpedit.msc 在windows 设置－ 安全设置 － 本地策略－ 审核策略中，打开你需要记录的windows日志。evtsys会实时的判断是否有新的windows日志产生，然后把新产生的日志转 换成syslogd可识别的格式,通过相应端口发送给syslogd服务器。 OK,所有的配置windows端配置完成 注意： Windows的evtsys是以daemon设备的方式发送给 syslogd log信息的。 因此，需要在/etc/syslog.conf中加入： deamon.* /var/log/windows.log