CentOS7系統怎么配置rsyslog服務(wù)發(fā)送和接收日志

這篇文章主要介紹“CentOS7系統怎么配置rsyslog服務(wù)發(fā)送和接收日志”，在日常操作中，相信很多人在CentOS7系統怎么配置rsyslog服務(wù)發(fā)送和接收日志問(wèn)題上存在疑惑，小編查閱了各式資料，整理出簡(jiǎn)單好用的操作方法，希望對大家解答”CentOS7系統怎么配置rsyslog服務(wù)發(fā)送和接收日志”的疑惑有所幫助！接下來(lái)，請跟著(zhù)小編一起來(lái)學(xué)習吧！

一、操作目的和應用場(chǎng)景

為了方便日志監控并防止日志被篡改，通常工作環(huán)境中會(huì )使用rsyslog架設日志用于存放其它服務(wù)器的日志。rsyslog支持日志的遠程發(fā)送和接收。

rsyslog客戶(hù)端：負責發(fā)送日志到遠程日志服務(wù)器，支持udp,tcp,relp協(xié)議。

rsyslog服務(wù)器：負責接收客戶(hù)端發(fā)來(lái)的日志并存儲在本地，支持文件存儲和數據庫存儲方式。

對于入侵排查工作來(lái)說(shuō)，操作系統的認證日志、計劃任務(wù)日志和歷史命令是非常重要的。為加強日志管理，要求將各系統的相應日志信息保存到專(zhuān)用的rsyslog日志服務(wù)器，保存日志的路徑格式為：源IP地址/設施名（日志類(lèi)別）/年月.log。

二、平臺及工具版本

軟件：rsyslog

日志客戶(hù)端（發(fā)送端）：CentOS 7

日志服務(wù)器（接收端）：CentOS 7

三、操作步驟

（一）日志客戶(hù)端配置

1、 發(fā)送認證和計劃任務(wù)日志（auth、authpriv、cron）

vi /etc/rsyslog.conf  //編輯rsyslog服務(wù)配置文件，文件末尾加入一行

auth.*;authpriv.*;cron.*  @@192.168.43.234:514

一個(gè)@代表通過(guò)UDP協(xié)議發(fā)送日志，這里是兩個(gè)@，代表以tcp方式傳送日志。與UDP相比，TCP傳輸的方式更加穩定一些。

保存退出。這樣，認證和計劃任務(wù)日志在本地保存的同時(shí)，還會(huì )保存到遠程日志服務(wù)器。

2、 發(fā)送歷史命令

（1）配置發(fā)送root賬戶(hù)的歷史命令

vi /root/.bashrc  //編輯root的配置文件，在文件末尾加入下面的內容

function log2syslog
{
   declare command
   command=$(fc -ln -0)
   logger -p local1.notice -t bash -i — $USER : "$command"

}
trap log2syslog DEBUG

保存退出

fc是shell的內置命令，作用是獲取命令歷史，$(fc -ln -0)返回最近執行的一條命令。

logger命令將消息發(fā)送到系統日志，-p設置消息的設施名為local1，優(yōu)先級為notice。

注意在$command兩端需要有雙引號。

（2）配置發(fā)送普通用戶(hù)的歷史命令

vi /home/sec/.bashrc  //編輯sec用戶(hù)的配置文件，在文件末尾加入下面的內容

function log2syslog

{

   declare command

   command=$(fc -ln -0)

   logger -p local1.notice -t bash -i — $USER : "$command"

}

trap log2syslog DEBUG

保存退出

（3）修改用戶(hù)配置模板

vi /etc/skel/.bashrc  //編輯用戶(hù)配置模板目錄中的.bashrc文件，加入下面的內容

function log2syslog

{

   declare command

   command=$(fc -ln -0)

   logger -p local1.notice -t bash -i — $USER : "$command"

}

trap log2syslog DEBUG

保存退出。該文件修改后，系統所創(chuàng )建的新用戶(hù)，其.bashrc文件中都會(huì )含有上述發(fā)送歷史命令的的指令。

3、 配置rsyslog服務(wù)

vi /etc/rsyslog.conf  //編輯配置文件

//將local1.none加入下面的行

*.info;mail.none;authpriv.none;cron.none;local1.none  /var/log/messages

//local1.none的意思是，設施名為local1的消息不寫(xiě)入本行指定的文件。這樣，messages文件中就不會(huì )保存本地用戶(hù)的歷史命令了。（命令歷史默認已經(jīng)保存到用戶(hù)的.bash_history文件中了）

//文檔末尾加入一行，將歷史命令發(fā)往日志服務(wù)器

local1.notice @@192.168.43.234:514

保存退出。

systemctl restart rsyslog  //重啟服務(wù)，使配置更改生效

（二）日志服務(wù)器配置

1、 rsyslog服務(wù)配置

vi /etc/rsyslog.conf  //取消下面兩行的注釋

$ModLoad imtcp

$InputTCPServerRun 514

//注釋掉原有的ActionFileDefaultTemplate指令（使用傳統的格式）

#$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat

//使用自定義的時(shí)間格式

$template myformat,"%$NOW% %TIMESTAMP:8:15% %hostname% %syslogtag% %msg%\n"

$ActionFileDefaultTemplate myformat

//在RULES段的前面寫(xiě)入下面的行

$template local1_path, "/var/log/%FROMHOST-IP%/bash_history/%$YEAR%%$MONTH%.log"

$template remote_path, "/var/log/%FROMHOST-IP%/%syslogfacility-text%/%$YEAR%%$MONTH%.log"

if $fromhost-ip != '127.0.0.1' and $syslogfacility-text == 'local1' then ?local1_path

& ~

if $fromhost-ip != '127.0.0.1' then ?remote_path

& ~

保存退出。

$template定義了兩個(gè)模板，名稱(chēng)分別為local1_path和remote_path，模板名稱(chēng)后面指定了將消息保存到的日志文件的路徑。

if開(kāi)頭的指令是基于表達式的過(guò)濾器。第一條if指令的意思是，如果日志消息的來(lái)源IP地址不是本機，且消息的syslogfacility-text為local1，那么將這條消息寫(xiě)入由模板local1_path對應的文件。

& ~的含義是讓滿(mǎn)足上面過(guò)濾器條件的消息不再匹配后續的規則。默認情況下，日志消息會(huì )按順序匹配rsyslog.conf中的每條規則。& ~在這里會(huì )讓消息跳過(guò)后面的規則，這樣這條消息就不會(huì )再被寫(xiě)入其他的日志文件了。

第二條if開(kāi)頭的指令將來(lái)自于本機之外的所有日志消息（由于前面的& ~，滿(mǎn)足這個(gè)條件的只有auth、authpriv和cron消息）寫(xiě)入remote_path所對應的文件。

systemctl restart rsyslog  //重啟服務(wù)

2、 防火墻配置

firewall-cmd --zone=public --add-port=514/tcp

四、總結

通過(guò)以上的配置，不同日志客戶(hù)端發(fā)來(lái)的日志可以分開(kāi)保存，在出現安全事件時(shí)可以快速找到相應日志。另外，rsyslog服務(wù)器也可以配置為中繼轉發(fā)，方法也很簡(jiǎn)單，就是將日志服務(wù)器作為rsyslog的客戶(hù)端進(jìn)行配置。這樣，rsyslog服務(wù)器接收日志后在本地保留一份，同時(shí)還將日志發(fā)送出去，例如發(fā)給審計設備或日志顯示平臺如graylog、ELK等。