對管理員來說，日志非常有用，但大量的日志又很麻煩。當一些事件運行錯誤時，日志可以對故障排除起到至關(guān)重要的作用，特別是在安全性相關(guān)問題上。但是如果攻擊者危害到你的主機，日志將會告訴你，對于主機來說這很有用；你需要給數(shù)據(jù)中心發(fā)信息。保護日志非常重要，一個中央日志服務(wù)器會更容易管理、分析和查找它們。針對這一點，我將向你展示如何把多個主機的系統(tǒng)日志集中收集到一個主機上來管理，即Linux上的中央系統(tǒng)日志服務(wù)器。

首先，所有集中的系統(tǒng)日志服務(wù)器都應(yīng)該建成一個安全和硬化的主機。在主機上沒有一點關(guān)于保護和集中化你們?nèi)罩痉矫?。其次，你怎樣能從你的主機上獲得日志呢？

讓我們開始安裝中央系統(tǒng)日志服務(wù)器。我將舉例說明如果使用rSyslog，實際的標準Linux系統(tǒng)日志。Ubuntu和紅帽常使用它，并且通過文件/etc/rsyslog.conf進行管理。文件中包含許多指定的特殊系統(tǒng)日志：有的是控制臺方面的，有的是文件方面或其它主機的。

首先，我們需要載入合適的TCP和UDP插件以支持接收系統(tǒng)日志。把下面的代碼添加到rsyslog.conf的頭部：

$modload imtcp
$modload imudp
$InputTCPServerRun 10514
$UDPServerRun 514

載入的這兩個模塊能支持監(jiān)聽TCP和UDP的端口，并且指定哪個端口來接受事件，在這種情況下，使用TCP的10514端口和UDP的514端口。你需要確認一下本地防火墻（在你的主機和中央系統(tǒng)日志服務(wù)器之間的防火墻）

下面我們需要指定一些規(guī)則來告訴rSyslog在哪放輸入事件。如果你不添加任何規(guī)則，輸入事件將按照本地的規(guī)則進行處理，并且與本地主機的事件交織在一起。我們需要在上面添加節(jié)之后和本地處理系統(tǒng)日志之前來正確的指定這個規(guī)則，例如：

if $fromhost-ip isequal '192.168.0.2' then /var/log/192.168.0.2.log
& ~

這里我們說的每一個來自于192.168.0.2的系統(tǒng)日志都應(yīng)該保存在/var/log/192.168.0.2.log文件中。&~這個符號是非常重要的，因為它告訴rSyslog將停止處理消息。如果你把它忘寫了，消息將越過下一個規(guī)則，并且繼續(xù)處理。在這一規(guī)則中還有其他的變量。例如：

if $fromhost-ip startswith '192.168.' then /var/log/192.168.log
& ~

這里我們用192.168.*替代了以這個為開始的所有IP地址，寫入到/var/log/192.168.log文件中。你還可以看到一些其它的過濾。

你將需要重啟這個rsyslog服務(wù)來激活我們所做的新的配置：

$ sudo service rsyslog restart

現(xiàn)在，對于發(fā)送方的主機，我們還需要對文件rsyslog.conf進行一些更改，在文件的頭部，添加下面這行：

*.* @@192.168.0.1:10514

這是發(fā)送的所有事件，來自于所有源代碼和所有重要級別（用*.*），通過TCP協(xié)議傳給IP地址為192.168.0.1的10514端口。你可是用你所在環(huán)境的地址來替換這個IP地址。要啟用此配置，你將需要重啟主機上的rSyslog。

你可以通過SSL/TLS更進一步地發(fā)送你的系統(tǒng)日志。如果你在互聯(lián)網(wǎng)上或其它網(wǎng)絡(luò)間傳輸系統(tǒng)日志，這也沒什么壞處，你可能會發(fā)現(xiàn)這個的簡單說明。

現(xiàn)在，如果給你的配置管理系統(tǒng)（如果不使用這個，你可以試一試Puppet或Cfengine工具）添加這個配置，然后，您可以用適當?shù)南到y(tǒng)日志來有效地配置每臺主機，以確保你的日志將被發(fā)送到中央系統(tǒng)日志服務(wù)器。

【編輯推薦】

1. 探秘：Linux在納斯達克的應(yīng)用
2. 超經(jīng)典！五大Linux網(wǎng)絡(luò)監(jiān)控工具推薦
3. 五年26個版本！Linux內(nèi)核版本的“武林大會”
4. 六款優(yōu)秀的開源Linux服務(wù)器配置工具(附下載)
5. Linux下清理大批量文件最佳實踐