主页 » UNIX设备Syslog配置

在UNIX设备上配置Syslog服务

注意: 请记下用于不同协议的默认端口号。


使用的默认端口号

  1. 513 & 514 UDP
  2. 514 TCP
  3. 513 TLS
  • 以超级用户身份登录并编辑/etc目录中的syslog.conf/rsyslog.conf/syslog-ng.conf文件。
  • 您可以通过在终端或Shell中执行'sp -aux | grep syslog'命令来检查设备中的记录器。
  • 对于基于 UDP 的日志收集,请在末尾附加:
    *.*<space/tab>@<eventloganalyzer_server_name>:<port_no>其中 <eventloganalyzer_server_name> 是运行 EventLog Analyzer 的机器的名称。保存配置并退出编辑器。
  • 对于基于 TCP 的日志收集,请在末尾附加: 

*.*<space/tab>@@<eventloganalyzer_server_name>:<port_no>,其中 <server_name> 是运行 EventLog Analyzer 的机器的名称。保存配置并退出编辑器。

  • 对于基于 TLS 的日志收集:

前提条件:

  • 启用 HTTPS 并在 server.xml 中配置有效证书。
  • 仅支持 pfx 格式存储证书,如果使用 keystore 格式,请将其转换为 pfx。

使用自签名证书:

  • 应用自签名证书后,将在<EventLogAnalyzer_Home>/Certificates位置创建一个名为ca.crt的文件。
  • 在客户端配置日志转发时,将此文件用作根证书。

使用其他证书:

  • 要配置日志转发,请从证书供应商处获取根证书。 
  • 检查前提条件后,将以下注释附加到/etc目录中的syslog.conf/rsyslog.conf/syslog-ng.conf文件中。

$DefaultNetstreamDriverCAFile <CACertificate>

$ActionSendStreamDriver gtls

$ActionSendStreamDriverMode 1

$ActionSendStreamDriverAuthMode x509/name

$ActionSendStreamDriverPermittedPeer <commonname>

*.*<space/tab>@@<eventloganalyzer_server_name>:<port_no>

保存配置并退出编辑器。

注意:
  1. 如果要使用以上指定的默认端口以外的其他端口,请在端口管理设置中指定。
  2. 公用名应该与证书文件中给出的值相同。

使用以下命令重新启动设备上的系统日志服务:

/etc/rc.d/init.d/syslog restart

注意:要在Linux设备中配置syslog-ng守护进程,请在/etc/syslog-ng/syslog-ng.conf的末尾添加以下条目

基于UDP的日志收集:

*.*<space/tab>@<eventloganalyzer_server_name>:<port_no>,其中<eventloganalyzer_server_name> 是EventLog Analyzer运行的DNS名称或IP地址。保存配置并退出编辑器。

基于TCP的日志收集:

*.*<space/tab>@@<eventloganalyzer_server_name>:<port_no>,其中<eventloganalyzer_server_name> 是EventLog Analyzer运行的DNS名称或IP地址。保存配置并退出编辑器。

注意: 确保可以从系统日志设备访问您提供的EventLog Analyzer服务器。

基于TLS的日志收集:

destination d_eventloganalyzer { tcp("<hostname>" port(<port>)tls(ca_dir("<CACertificate>") ); }; 

log { source(src); destination(eventloganalyzer); };

注意: 上述配置将仅支持将计算机日志转发到EventLog Analyzer服务器。

将审核日志转发到EventLog Analyzer服务器

以下给定配置必须在Linux设备中的rsyslog.conf(或)syslog.conf下完成:

  1. 在MODULES部分下,检查是否包含“$ModLoad imfile”。(此模块“imfile”将任何输入文本文件转换为系统日志消息,然后可以将其转发到EventLog Analyzer服务器。)
  2. 以下指令包含外部日志文件的详细信息:

    $InputFileName <Monitored_File_Absolute_Path>

    $InputFileStateFile <State_Filename>

    $InputFileSeverity <Severity >

    $InputFileFacility <Facility >

    $InputRunFileMonitor

  3. 要转发日志,我们必须提供以下行: <Facility>.<Severity> @Host-Ip:Port

例如:

$InputFileName /var/log/sample.log

$InputFileStateFile sample

$InputFileSeverity info

$InputFileFacility local6

local6.info @eventloganalyzer-Server:514

其中,/var/log/sample.log是要转发的外部文件。

注意:
  1. 这些说明可以应用于所有Linux设备。
  2. 不同的<Monitored_File_Absolute_Path>使用唯一的<State_Filename>
  3. 转发审计日志时,带有安全增强功能的Red Hat系统(SElinux)中的默认策略有时不允许读取审计日志。在这种情况下,可以通过在etc/audisp/plugins.d/syslog.conf中添加active=yes来转发审计日志。
 
Copyright © 2022, ZOHO Corp
ManageEngine