Syslog 配置介绍

syslog之⼀：Linuxsyslog⽇志系统详解# ⼀、syslog简介syslog是⼀种⼯业标准的协议，可⽤来记录设备的⽇志。

在UNIX系统，路由器、交换机等⽹络设备中，系统⽇志(System Log)记录系统中任何时间发⽣的⼤⼩事件。

管理者可以通过查看系统记录，随时掌握系统状况。

UNIX的系统⽇志是通过syslogd这个进程记录系统有关事件记录，也可以记录应⽤程序运作事件。

通过适当的配置，我们还可以实现运⾏syslog 协议的机器间通信，通过分析这些⽹络⾏为⽇志，藉以追踪掌握与设备和⽹络有关的状况。

功能：记录⾄系统记录。

# ⼆、syslog服务与配置2.1、安装syslog软件包软件包名称为：rsyslog-5.8.10-10.el6_6.x86_64我⽤的是centos系统，配置的有第三⽅的yum源，我直接yum install直接装就OK了装完后⽤ rpm -qa | grep syslog下看是否已安装2.2、syslog⽇志系统可以根据程序详细信息的不同定义不同的⽇志级别2.3、Linux上的⽇志系统分为：syslog和syslog-ng（syslog⽇志系统的升级版）2.4、syslog服务：syslog服务进程分两个，分别是：syslogd（系统，⾮内核产⽣的⽇志）和klogd（专门记录内核产⽣的⽇志）kernel-->物理终端（/dev/console）-->/var/log/dmesg 其中/var/log/dmesg⽂件可以使⽤dmesg命令和cat查看⽂件内容⽇志滚动（⽇志切割）：所谓的滚动是指历史信息所保存的⽇志，如;messages⽂件⽇志会越来越⼤等到了某⼀段时间，会把messages⽂件重新命名为messages.1，系统并重新创建messages⽂件，所以叫做⽇志滚动/sbin/init/var/log/messages:系统标准错误⽇志信息；⾮内核产⽣的引导信息，各⼦系统产⽣的信息/vat/log/maillog:邮件系统产⽣的⽇志信息/vat/log/secure:安全相关log系统⾃带的⽇志切割程序logrotatelogrotate脚本配置⽂件[root@localhost cron.daily]# pwd/etc/cron.daily[root@localhost cron.daily]# vim logrotate滚动⽇志信息配置⽂件[root@localhost cron.daily]# pwd/etc/cron.daily[root@localhost cron.daily]# vim /etc/logrotate.conf# see "man logrotate"for details# rotate log files weeklyweekly #每周滚动⼀次# keep 4 weeks worth of backlogsrotate 4 #只保留4个切割版本⽂件，超过后清除# create new (empty) log files after rotating old onescreate #滚动完之后创建⼀个空的新的⽂件# use date as a suffix of the rotated filedateext# uncomment this if you want your log files compressed#compress# RPM packages drop log rotation information into this directoryinclude /etc/logrotate.d #包括/etc/logrotate.d 下的⽂件，⼿动添加可直接添加到此⽬录# no packages own wtmp and btmp -- we'll rotate them here/var/log/wtmp{monthly #按⽉，⾃⼰定义create 0664 root utmp #创建⽂件并0664权限minsize 1M #最新1Mrotate 1 #保留⼏个版本}/var/log/btmp{missingokmonthlycreate 0600 root utmprotate 1}# system-specific logs may be also be configured here.[root@localhost cron.daily]#syslog配置⽂件/etc/rsyslog.conf注：centos 6 的配置⽂件是/etc/rsyslog.conf，centos5的配置⽂件是/etc/syslog.conf2.5、配置⽂件定义格式为facility.priority actionfacility是指哪个facility来源产⽣的⽇志； priority是指拿个级别的⽇志；action是指产⽣⽇志怎么办是保存在⽂件中还是其他。

配置防火墙的Syslog存储到Linux Syslog服务器防火墙日志作为重要的安全审计、安全分析资料，需要保存一段时间，而防火墙本身保存日志的容量有限，可以把防火墙记录的日志存储到用Linux平台做的日志服务器,以Netscreen为例介绍怎样配置Syslog.配置Netscreen的Syslog存储到Linux Syslog服务器将ISG 防火墙(X.X.X.X)的Syslog信息存储到Syslog服务器上(Y.Y.Y.Y)，便于跟踪防火墙状态和日志检查。

一、配置Syslogd更改/etc/syslog.conf配置文件，增加以下部分：# Save Debug Message of Netscreen(Y.Y.Y.Y) to netscreen.logLocal7.* /home/log/netscreen.log将local7设备的信息存储在指定的/home/log/netscreen.log里面，通过这条配置可以将不同设备的log信息存储在不同的文件中，便于查看。

二、配置logrotateLinux中的logrotate程序用于对日志文件的轮询，可以通过限定文件的大小、时间等配置，保存多个日志文件。

更改/etc/logratate.conf文件，增加以下部分：/home/log/netscreen.log {monthlyrotate 12}将syslog中存储的文件/home/log/netscreen.log，按每月的方式保存，共保存12个文件，也就是第一个月保存为netscreen.log，到了下个月将把这个月的文件名换成为netscreen.log.1，依此类推。

三、重新启动syslogdservice syslog restart四、Netscreen 配置：>查看log的等级get event level可以看到当前的netscreen 事件等级，如：alert level 1: immediate action is requiredcritical level 2: functionality is affecteddebug level 7: detailed information for troubleshootingemergency level 0: system is unusableerror level 3: error conditioninformation level 6: general information about operationnotification level 5: normal eventswarning level 4: functionality may be affected选择你需要等级即可，这里我们选择Debug信息。

Syslog配置及使用简介目录Syslog配置及使用简介 (1)1.Syslog简介 (2)2.Syslog协议 (2)2.1. syslog体系结构 (2)2.2. syslog包格式 (2)3.Syslog配置 (3)3.1 概览 (4)3.2选择符 (4)3.3 动作 (4)4.C语言中的syslog (5)4.1 openlog (5)4.2 syslog (5)4.3 closelog (6)4.4 setlogmask (6)4.5例子 (6)5.参考文献 (7)1.Syslog简介Syslog常被称作系统日志，在80年代作为sendmail的一部分而发布，由于其可用性，现在已成为用来在internet中传递日志信息的事实上的标准。

这些传递日志的程序或数据库同时也被称作syslog。

Syslog是主从式的协议，syslog发送端发送一些小的文字信息到syslog 接收端，接收端根据配置文件把收到的信息进行存储或者处理，或者再次进行转发。

Syslog通常被用作系统信息管理，由于其已在大多数系统上实现，所以它可以把不同类型主机上的信息集中整合到一起。

但是它仍然有许多缺陷，表现在下面几个方面：Syslog 的传输是通过UDP或者TCP传输，安全性并不可靠。

一般可以通过ssl加密壳来完成加密；syslog的实时性不好，只能通过更改配置加以改进。

所以syslog主要用在安全性要求不高，实时性不强的地方。

2.Syslog协议syslog使用UDP协议作为它的传输层协议，其默认使用UDP端口514。

2.1. syslog体系结构syslog模糊了发送方、接收方，设备、中继以及收集器的区别，一台设备可以同时是某种日志信息的中继、也可以是另外某种信息的收集器，同时可以作为发送者发送日志：●发送方发送日志信息至某个主机，并不知道这台主机会如何处理这些日志。

●发送方可以通过配置，把同一条日志同时发送给多个接收者。

SNMP & SYSLOG配置说明SNMP添加Wind owsWindows 系统默认不开启SNMP 功能。

1. 安装前准备，SNMP 安装需要操作系统安装光盘，找到相对应的安装盘，插入光驱准备安装。

2. 点击开始---设置---控制面板---添加或删除程序---添加/删除Windows 组件3. 选择“管理和监视工具”见图，点击详细信息4. 选中“简单网络管理协议”5. 点击“确定”按钮，开始安装6. 安装结束后，点击“完成”，SNMP 服务安装成功，SNMP 安装成功后会在服务中看到SNMP service 的服务设置 SNMP 共同体名称1. 打开 Windows 的服务列表2. 选中 SNMP service 并查看其属性3. 选择“安全”选项卡，点击“添加”按钮，添加共同体名称。

4. 选择“接受来自任何主机的SNMP 数据包”。

5. 设置完成后，点击“确定”，设置完成。

6. 确认 SNMP service 服务为“已启动”状态。

LinuxCiscoCisco 路由器和交换机SNMP 的设置方法一样，如下：1. 必配：开启SNMPCisco>enable(如果一经登陆就是#模式，则说明您的帐号或者通道已经处于1‐15级的特权模式可直接进行第下步操作)Cisco#configure terminalCisco(config)#SNMPserver community CNS ro （配置SNMP 团体名为cns，ro 为读权限）Cisco(config)#SNMPserver community NI rw（配置SNMP 团体名为NI，rw 为写权限）Cisco(config)#exitCisco# copy run startup（保存命令，如保存不了请利用show process memory 命令查看内存是否已满。

）Cisco#exitCisco>exit2. 选配：开启SNMP TrapCisco>enable(如果一经登陆就是#模式，则说明您的帐号或者通道已经处于1‐15级的特权模式可直接进行第下步操作)Cisco#configure terminalCisco(config)#SNMPserver community ChinaNetwork ro （配置本路由器\交换机的只读字串ChinaNetwork）Cisco(config)#SNMPserver community ChinaNetwork rw （配置本路由器\交换机的读写字串ChinaNetwork）Cisco(config)#SNMPserver enable traps （允许设备将所有类型SNMP Trap 发送出去）Cisco(config)#SNMPserver host 1.1.1.1 traps trapcomm （指定设备SNMP Trap 的接收者为1.1.1.1，发送Trap 时采用trapcomm 作为字串）Cisco(config)#SNMPserver trapsource interfacetype fastethernet 0/0 （指定发送trap 信息的源IP 地址为fastethernet 0/0 接口的地址）Cisco# copy run startup （保存命令，如保存不了请利用show process memory 命令查看内存是否已满。

目录目录 (1)syslog 配置 (2)第一章类UNIX系统syslog配置 (2)一、syslog.conf文件配置说明 (2)二、Syslog 服务启停： (3)三、测试产生日志 (4)第二章Windows 平台syslog配置 (4)一、安装配置 (4)二、参数说明： (4)第三章网络设备syslog配置 (4)一、配置步骤 (4)二、检验结果 (5)syslog 配置第一章类UNIX系统syslog配置一、syslog.conf文件配置说明/etc/syslog.con f文件中的一项配置记录由“选项”(selector)和“动作”(action)两个部分组成，两者间用tab制表符进行分隔。

而“选项”又由一个或多个形如“类型.级别”格式的保留字段组合而成，各保留字段间用分号分隔。

保留字段中的“类型”代表信息产生的源头，可以是：kern 由kernel产生的信息；user 由用户进程产生的信息。

对那些由程序或不在此列出的工具产生的信息，其缺省类型都是“user”;mail 邮件系统产生的信息；daemon 系统守护进程的信息，如in.ftpd、telnetd；auth 由login, su, gett y等进行身份认证时产生的信息；s yslog 由s yslogd自己内部产生的信息；lpr 行打印spooling系统的信息；news USENET 网络新闻系统的信息；uucp UUCP系统信息；cron cron和at工具信息；local0-7 保留为local使用；mark syslogd内部产生的时间戳信息；* 除mark之外的所有其它类型（此符号不可用以代表所有级别）。

保留字段中的“级别”代表信息的重要性，可以是：emerg 紧急，处于Panic状态。

通常应广播到所有用户；alert 告警，当前状态必须立即进行纠正。

例如，系统数据库崩溃；crit 关键状态的警告。

例如，硬件故障；err 其它错误；warning 警告；notice 注意；非错误状态的报告，但应特别处理；info 通报信息；debug 调试程序时的信息；none 通常调试程序时用，指示带有none级别的类型产生的信息无需送出。

syslog使用方法一、什么是syslogsyslog是一种系统日志记录协议，用于在计算机网络上发送、接收和存储系统日志消息。

它可以帮助系统管理员监控和分析系统运行状态，诊断和解决问题，以及进行安全审计。

syslog可以用于各种操作系统和设备，如Unix、Linux、Windows、路由器、交换机等。

二、syslog的基本原理syslog的基本原理是通过网络传输日志消息。

它由三个主要组件组成：发送方（syslog client）、接收方（syslog server）和日志消息（syslog message）。

1. 发送方（syslog client）：发送方负责收集系统日志消息并将其发送到接收方。

发送方可以是操作系统的日志服务，也可以是应用程序或设备的日志功能。

2. 接收方（syslog server）：接收方是用于接收和存储日志消息的服务器。

它通常由系统管理员设置并运行在网络中的一台服务器上。

接收方可以收集来自多个发送方的日志消息，并对其进行存储、过滤和分析。

3. 日志消息（syslog message）：日志消息是由发送方生成的系统日志。

它包含了记录的事件、时间戳、设备信息、日志级别等重要信息。

日志消息可以根据不同的设备和应用程序进行格式化。

三、syslog的配置和使用步骤1. 配置发送方（syslog client）：- 在发送方上找到并编辑syslog配置文件，通常是/etc/syslog.conf或/etc/rsyslog.conf。

- 添加或修改配置项以指定syslog服务器的IP地址和端口号。

例如：*.* @192.168.1.100:514。

- 保存配置文件并重启syslog服务，使配置生效。

2. 配置接收方（syslog server）：- 在接收方上安装syslog服务器软件，如rsyslog、syslog-ng 等。

- 打开syslog服务器的配置文件，通常是/etc/syslog.conf或/etc/rsyslog.conf。

syslog详解及配置远程发送⽇志和远程⽇志分类syslog详解及配置远程发送⽇志和远程⽇志分类1、⽇志协议syslog# 1.1、syslog简介 完善的⽇志分析系统应该能够通过多种协议（包括syslog等）进⾏⽇志采集并对⽇志分析，因此⽇志分析系统⾸先需要实现对多种⽇志协议的解析。

其次，需要对收集到的海量⽇志信息进⾏分析，再利⽤数据挖掘技术，发现隐藏再⽇志⾥⾯的安全问题。

Syslog再UNIX系统中应⽤⾮常⼴泛，它是⼀种标准协议，负责记录系统事件的⼀个后台程序，记录内容包括核⼼、系统程序的运⾏情况及所发⽣的事件。

Syslog协议使⽤UDP作为传输协议，通过514端⼝通信，Syslog使⽤syslogd后台进程，syslogd启动时读取配置⽂件/etc/syslog.conf，它将⽹络设备的⽇志发送到安装了syslog软件系统的⽇志服务器，Syslog⽇志服务器⾃动接收⽇志数据并写到指定的⽇志⽂件中。

# 1.2、syslog⽇志格式syslog标准协议如下图： Syslog消息并没有对最⼩长度有所定义，但报⽂的总长度必须在1024字节之内。

其中PRI部分必须有3个字符，以‘<’为起始符，然后紧跟⼀个数字，最后以‘>’结尾。

在括号内的数字被称为Priority（优先级），priority值由Facility和severity两个值计算得出，这两个值的级别和含义见表1-1和表1-2。

下⾯是⼀个例⼦：<30>Oct 1020:30:10 fedora auditd [1780]: The audit daemon is exiting▶“<30>”是PRI部分，即Priority（优先级），取值范围0~191。

▶“Oct 10 20:30:10 fedora”是HEADER（报头部分）。

▶“auditd [1780]: The audit daemon is exiting”是MSG（信息）部分。