syslog 介紹

Syslog服務

1 介紹

Syslog廣泛應用與系統日志、syslog日志消息既可以記錄到本地文件，也可以通過網絡發送到接收syslog的服務器，接收的服務器可以對多個設備的消息進行統一的存儲或者解析其中內容做相應處理，常見的應用場景就是網絡管理工具、安全管理系統、日志審計系統。

完整的syslog日志包含了 產生日志的程序模塊（facility）嚴重性（severity）時間、主機名或ip、進程名、進程id、正文。

約定發送syslog的設備為device，轉發syslog的設備為relay、接收syslog的設備為collector；

建議syslog消息發送到collector的udp 514端口不需要接受方應答；完整的syslog消息由三部分組成，分別是pri、header、msg

 

Syslog 消息格式

<30>Oct 9 22:33:20 hlfedora auditd[1787]: The audit daemon is exiting.

 其中“<30>”是PRI部分，“Oct 9 22:33:20 hlfedora”是HEADER部分，“auditd[1787]: The audit daemon is exiting.”是MSG部分。

PRI部分由尖括號包含的一個數字構成，這個數字包含了程序模塊（Facility）、嚴重性（Severity），這個數字是由Facility乘以 8，然后加上Severity得來

 

重要級

debug       不包含函數條件或問題的其他信息

info            提供信息的消息

none        沒有重要級，通常用於排錯

notice      具有重要性的普通條件

warning     預警信息

err         阻止工具或某些子系統部分功能實現的錯誤條件

crit            阻止某些工具或子系統功能實現的錯誤條件

alert           需要立即被修改的條件

emerg       該系統不可用

 

Linux sysylog設置

1、編輯/etc/sysconfig/syslog文件,讓服務器能夠接受客戶端傳來的數據：

在“SYSLOGD_OPTIONS”行上加“-r”選項以允許接受外來日志消息

2重新啟動syslog守護進程

Service syslog restart

3 關閉iptables 或者開啟514端口

 

配置客戶端

 1、配置/etc/syslog.conf

         修改客戶機/etc/syslog.conf文件，在有關配置行的操作動作部分用一個“@”字符指向日志服務器

[root@client ~]# vim /etc/syslog.conf

# Log all kernel messages to the console.

# Logging much else clutters up the screen.

#kern.*                                                 /dev/console

*.*                                                     @10.64.165.210

# The authpriv file has restricted access.

authpriv.*                                              /var/log/secure