Freebsd7日志服务器配置
将要收集的服务器添加到hosts文件中,作用看syslog.conf配置
(1)/etc/hosts
xxx.yyy.x.22 switch
xxx.yyy.x.161 linux
xxx.yyy.x.162 windows
开起freebsd接收远程的日志(这与linux不同,大家可以与李兄的文章比对下,嘿嘿!)
(2)/etc/rc.conf
syslogd_flags="-4 -a 0/0:*"
执行/etc/netstart
修改后的参数说明:
-4 只监听IPv4端口,如果你的网络是IPv6协议,可以换成-6
-a 0/0:* 接受来自所有网段所有端口发送过来的log信息。(为什么不指定端口,因为交换机和windows发送log的端口是高端口,所以不能限定端口
我就是因为这个,而在接收交换机的日志时,没有收到!大家注意,根据不同情况做不同的要求。而对linux来说,它没有这方面的说明,也就是默认
接收所有端口,相对而言,freebsd在这方面是比它安全的哟!)
配置syslog.conf
(3)/etc/syslog.conf
+switch
*.* /var/log/switch.log
+linux
authpriv.* /var/log/linux.log
+windows
deamon.* /var/log/windows.log
执行/etc/rc.d/syslogd restart
在这里
+[hostname] 指的是由这个 host 过来的信息利用以下 block 的方式记录
(4)检查netstat -an,开起一个ipv4 udp 451端口
ps aux|grep syslogd
结果:/usr/sbin/syslogd -4 -a 0/0:*
(5)余下工作
touch /var/log/switch.log linux.log windows.log
到这里,基本上是搞定了,大家可以用
tcpdump src host ip
tail -f /var/log/switch.log
来观察喽....
客户端配置
[I]交换机/路由器
大家参考李晨光的blog
[II]linux
只需要修改下syslog.conf
authpriv.* @ip
ip为我那台freebsd中央日志服务器的IP
[III]windows
对于UNIX类主机之间记录日志,由于协议、软件和日志信息格式等都大同小异,因此实现起来比较简单,但是windows的系统日志格式不同,日志记录软
件,方式等都不同。因此,我们需要第三方的软件来将windows的日志转换成syslog类型的日志后,转发给syslog服务器。
安装步骤
(1)下载evtsys (全称是evntlog to syslog)
https://engineering.purdue.edu/ECN/Resources/Documents/UNIX/evtsys
把这两个文件拷贝到 c:windowssystem32目录下。
打开Windows命令提示符(开始->运行 输入CMD)
C:>evtsys –i –h xxx.yyy.x.100
-i 表示安装成系统服务
-h 指定log服务器的IP地址
如果要卸载evtsys,则:
net stop evtsys
evtsys -u
启动该服务:
C:>net start evtsys
打开windows组策略编辑器 (开始->运行 输入 gpedit.msc)
在windows
设置-> 安全设置 ->
本地策略->审核策略中,打开你需要记录的windows日志。evtsys会实时的判断是否有新的windows日志产生,然后把新产生的日志转
换成syslogd可识别的格式,通过相应端口发送给syslogd服务器。
OK,所有的配置windows端配置完成
注意:
Windows的evtsys是以daemon设备的方式发送给 syslogd log信息的。
因此,需要在/etc/syslog.conf中加入:
deamon.* /var/log/windows.log
.- 上一篇:在笔记本上安装FreeBSD
- 下一篇:扬州市概况