国内常见网络与安全、主机系统的syslog配置方法
syslog日志服务器的配置
配置防火墙的Syslog存储到Linux Syslog服务器防火墙日志作为重要的安全审计、安全分析资料,需要保存一段时间,而防火墙本身保存日志的容量有限,可以把防火墙记录的日志存储到用Linux平台做的日志服务器,以Netscreen为例介绍怎样配置Syslog.配置Netscreen的Syslog存储到Linux Syslog服务器将ISG 防火墙(X.X.X.X)的Syslog信息存储到Syslog服务器上(Y.Y.Y.Y),便于跟踪防火墙状态和日志检查。
一、配置Syslogd更改/etc/syslog.conf配置文件,增加以下部分:# Save Debug Message of Netscreen(Y.Y.Y.Y) to netscreen.logLocal7.* /home/log/netscreen.log将local7设备的信息存储在指定的/home/log/netscreen.log里面,通过这条配置可以将不同设备的log信息存储在不同的文件中,便于查看。
二、配置logrotateLinux中的logrotate程序用于对日志文件的轮询,可以通过限定文件的大小、时间等配置,保存多个日志文件。
更改/etc/logratate.conf文件,增加以下部分:/home/log/netscreen.log {monthlyrotate 12}将syslog中存储的文件/home/log/netscreen.log,按每月的方式保存,共保存12个文件,也就是第一个月保存为netscreen.log,到了下个月将把这个月的文件名换成为netscreen.log.1,依此类推。
三、重新启动syslogdservice syslog restart四、Netscreen 配置:>查看log的等级get event level可以看到当前的netscreen 事件等级,如:alert level 1: immediate action is requiredcritical level 2: functionality is affecteddebug level 7: detailed information for troubleshootingemergency level 0: system is unusableerror level 3: error conditioninformation level 6: general information about operationnotification level 5: normal eventswarning level 4: functionality may be affected选择你需要等级即可,这里我们选择Debug信息。
Syslog 配置介绍
Syslog 简介Syslog是一个通过IP网络允许一台机器发送事件通知信息给事件收集者(Syslog服务器或者Syslog Daemon)的协议。
换言之,就是一台机器或者设备能够被配置,使之产生Syslog 信息并且发送到一台特定的Syslog服务器/Daemon。
Syslog信息建立在UDP之上,一般Syslog信息在UDP514端口上被收集,Syslog信息的长度不大于1024字节。
由于基于UDP协议,所以当如果因为网络拥塞等情况导致信息包丢失,那么信息将不再重发,而是简单的丢失掉。
Syslog协议是在Unix系统上被创建出来的。
使用Syslog,一个远程Unix主机能够很好的跟踪另一台Unix主机。
任何应用程序都能够产生Syslog信息。
格式Syslog包的格式:一个Syslog信息主要有三部分组成。
分别是PRI,HEADER,MSG。
日志信息格式如下:<优先级>时间戳主机名模块名/级别/信息摘要:内容<priority>timestamp sysname module/level/digest:content以上格式中的尖括号(< >)、空格、斜杠(/)、冒号(:)是有效的、必须的。
输出到日志主机的日志格式的例子如下:<189>Jun 7 05:22:03 2003 Quidway IFNET/6/UPDOWN:Line protocol on interface Ethernet0/0/0, changed state to UP以下对每一个字段做详细说明。
1.优先级是优先级的意思,它由两部分组成,共一个字节,前3位是严重度(Severity),后5位是表示Facility。
优先级的计算按如下公式:facility*8+severity-1。
a) 严重度b) Facility2。
Header包括两部分:1>时间戳,它是指信息生成的日期和时间。
Syslog服务器的设置
Syslog服务器的设置
首先在一个PC上安装syslog软件。
目前syslog软件可以运行在Windows、Linux和Unix 上,请随便做一个syslog服务器。
我们推荐一个运行在Windows平台上的syslog服务器软件,kiwi-syslog。
请到下面的站点下载:
然后在防火墙上作如下设置:
Kiwi_SysLog服务器日志设置
使用Kiwi_SysLog软件可以把日志进行分类存储,如按照日志的时间进行存储。
具体的设置方法如下:
日期:yyyy-mm-dd 时间:hour
具体的设置请看“Insert AutoSplit value”
●如上图的设置,日志的记录将会是这样的:
其中D:\Logs\2004-03-14\表示每天的日志,在每天的日志中,LOG_15表示下午三点的记录,LOG_16表示下午四点的记录,依此类推。
这样就可以分别记录。
●如果要对日志进行查询、排序等工作,需要用到微软的Access数据库进行处理。
具体的操作是“文件”→“新建”→“空数据库”→“文件”→“获取外部数据”→“导入”→然后选择日志文件→选择“带分隔符”→选择“分号”→“完成”。
Syslog配置及使用简介
Syslog配置及使用简介目录Syslog配置及使用简介 (1)1.Syslog简介 (2)2.Syslog协议 (2)2.1. syslog体系结构 (2)2.2. syslog包格式 (2)3.Syslog配置 (3)3.1 概览 (4)3.2选择符 (4)3.3 动作 (4)4.C语言中的syslog (5)4.1 openlog (5)4.2 syslog (5)4.3 closelog (6)4.4 setlogmask (6)4.5例子 (6)5.参考文献 (7)1.Syslog简介Syslog常被称作系统日志,在80年代作为sendmail的一部分而发布,由于其可用性,现在已成为用来在internet中传递日志信息的事实上的标准。
这些传递日志的程序或数据库同时也被称作syslog。
Syslog是主从式的协议,syslog发送端发送一些小的文字信息到syslog 接收端,接收端根据配置文件把收到的信息进行存储或者处理,或者再次进行转发。
Syslog通常被用作系统信息管理,由于其已在大多数系统上实现,所以它可以把不同类型主机上的信息集中整合到一起。
但是它仍然有许多缺陷,表现在下面几个方面:Syslog 的传输是通过UDP或者TCP传输,安全性并不可靠。
一般可以通过ssl加密壳来完成加密;syslog的实时性不好,只能通过更改配置加以改进。
所以syslog主要用在安全性要求不高,实时性不强的地方。
2.Syslog协议syslog使用UDP协议作为它的传输层协议,其默认使用UDP端口514。
2.1. syslog体系结构syslog模糊了发送方、接收方,设备、中继以及收集器的区别,一台设备可以同时是某种日志信息的中继、也可以是另外某种信息的收集器,同时可以作为发送者发送日志:●发送方发送日志信息至某个主机,并不知道这台主机会如何处理这些日志。
●发送方可以通过配置,把同一条日志同时发送给多个接收者。
syslog配置
local0----local7
本地用户信息
2、重要级:
重要级是选择条件的第二个字段,它代表消息的紧急程度。
按严重程度由低到高排序:
debug
不包含函数条件或问题的其他信息
info
提供信息的消息
none
没有重要级,通常用于排错
notice
具有重要性的普通条件
warning
预警信息
err
阻止工具或某些子系统部分功能实现的错误条件
crit
阻止某些工具或子系统功能实现的错误条件
alert
需要立即被修改的条件
emerg
该系统不可用
不同的服务类型有不同的优先级,数值较大的优先级涵盖数值较小的优先级。如果某个选择条件只给出了一个优先级而没有使用任何优先级限定符,对应于这个优先级的消息以及所有更紧急的消息类型都将包括在内。比如说,如果某个选择条件里的优先级是“warning”,它实际上将把“warning”、 “err”、“crit”、“alert”和“emerg”都包括在内。
配置文件中每行表示一个项目,格式为:facility.level action
由两个部分组成:
第一部分:选择条件(可以有一个或者多个条件),分为两个字段。
第二部分:操作动作;
1、选择条件
选择条件本身分为两个字段,之间用一个小数点(.)分隔。前一字段是一项服务,后一字段是一个优先级。选择条件是对消息类型的一种分类,这种分类便于 人们把不同类型的消息发送到不同的地方。在同一个syslog配置行上允许出现一个以上的选择条件,但必须用分号(;)隔开。
3、操作动作
常见网络设备SNMP及SYSLOG配置指南V1.3
错误!未找到引用源。
文档说明本文档目的是为了推进互相交流学习使用目录1 文档说明 (5)1.1 字体约定 (5)2 交换机部分 (6)2.1 Cisco交换机 (6)2.1.1 SNMP配置 (6)2.1.2 TRAP配置 (6)2.1.3 Syslog配置 (7)2.2 华为交换机 (8)2.2.1 SNMP配置 (8)2.2.2 TRAP配置 (8)2.2.3 Syslog配置 (9)2.3 ZTE交换机 (9)2.3.1 SNMP配置 (10)2.3.2 TRAP配置 (10)2.3.3 Syslog配置 (11)3 路由器部分 (12)3.1 Cisco路由器 (12)3.1.1 SNMP配置 (12)3.1.2 TRAP配置 (13)3.1.3 Syslog配置 (13)3.2 华为路由器 (14)3.2.1 SNMP配置 (14)3.2.2 TRAP配置 (15)3.2.3 Syslog配置 (15)3.3 阿尔卡特路由器 (16)3.3.1 SNMP配置 (16)3.3.2 TRAP配置 (16)3.3.3 SYSLOG配置 (16)3.4 Juniper路由器 (16)3.4.1 SNMP配置 (17)3.4.2 TRAP 配置 (17)3.4.3 Syslog配置 (18)4 防火墙部分 (19)4.1 Netscreen防火墙 (19)4.1.1 SNMP配置 (19)4.1.2 TRAP配置 (20)4.1.3 Syslog配置 (21)4.2 Cisco PIX防火墙 (21)4.2.1 SNMP配置 (22)4.2.2 TRAP配置 (22)4.2.3 Syslog配置 (22)5 四层交换机 (24)5.1 F5负载均衡 (24)5.1.1 SNMP配置 (24)5.1.2 TRAP配置 (25)1 文档说明1.1 字体约定黑字体表示在系统中执行的命令。
斜字体表示变量。
搭建syslog服务器流程
1.安装系统a)安装要求i.PC配置:CPU:Intel P E2160(1.8GHz)以上内存:1G以上硬盘:80G以上虚拟机要求:Kernel:linux 2.6内存:512以上硬盘:40G以上b)安装系统i.Linux syslog server要求用centos 5.5下载地址:ed2k://|file|[《CentOS.5.5.》32bit[光盘镜像]].CentOS-5.5-i386-bin-DVD.iso|4185118720|a1ce64b6d36d945f562cb1250d8d665f|h=fnfai2pqdbdxmz5i5wshkaj22ttscbkg|/c)配置网络i.点击桌面上方的系统→管理→网络,配置eth0和DNSwork Abapter修改为桥接模式2.安装工具a)安装GCC和make[root@FDWIN ~]# yum install gcc makeb)安装LAMP平台[root@FDWIN ~]# yum install php-mysql mysql mysql-server php-snmp php-pdoperl-DBDMySQL httpd php –y[root@FDWIN ~]# service mysqld start[root@FDWIN ~]# chkconfig mysqld on[root@FDWIN ~]#service httpd start[root@FDWIN ~]#chkconfig httpd on[root@FDWIN ~]# mysqladmin -uroot password '000000'[root@FDWIN ~]#vim /var/www/html/index.php添加:<?php$link=mysql_connect("localhost","root","000000");if(!$link) echo "FAILD!";else echo "OK!";?>然后网页访问下出现OK说明没问题了。
Syslog命令手册
Syslog命令手册目录1简介 (3)2配置命令 (3)3典型配置 (10)4附件 (11)1简介Syslog是一种工业标准的协议,可用来记录设备的日志。
路由器、交换机等网络设备中,系统日志(System Log)记录系统中任何时间发生的大小事件。
管理者可以通过查看系统记录,随时掌握系统状况。
日志文件保存了系统中所发生事件的详细记录,这些记录称作日志文件或消息文件。
可以通过查阅日志文件来确定系统当前状态、观察入侵者踪迹、寻找某特定程序(或事件)相关的数据。
同时,由于守护进程并不拥有控制终端,因此无法将进程运行信息输出显示,因此会向相应的日志文件中写入记录。
而系统内核本身也会将一些系统信息写入相应的日志文件。
由此,构成日志文件的主要内容。
终端支持日志本地查询和过滤,支持访问日志,包括终端的登录记录、企业内部资源访问记录(SSL VPN)、管理配置操作记录等。
支持安全日志,包括外部攻击记录、告警信息记录等。
支持日志生成后上报到syslog服务器。
日志文件管理方面支持日志文件写入等级设置,只有日志等级高于此限制的信息才记入到日志文件。
2配置syslog3典型配置配置说明:host# con t //进入接口配置模式host(config)# log server addr 202.103.66.23 //日志服务器的IP地址host(config)# log server enable //将日志记录到syslog服务器host(config)# log server port 514 // <1-65535> Syslog server port host(config)#log server enablehost(config)#ip route 0.0.0.0/0 202.111.101.49 //配置路由信息host(config)# show log-config //可查看配置syslog服务器的相关信息。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1 UNIX主机1.1 Solaris通过Unix系统的Syslog服务转发系统日志到采集服务器,具体配置方法如下:1.提供Unix系统的IP地址2.提供Unix系统的主机名称3.在Unix系统/etc/syslog.conf文件最后追加以下2行*.err &nbs p; @IP @IP@IP为采集机地址4.用下面的命令重启syslog服务Ø 对于Solaris8,9/etc/init.d/syslog stop/etc/init.d/syslog startØ 对于Solaris10Svcadm restart system-log1.2 HP-UX通过Unix系统的Syslog服务转发系统日志到采集服务器,具体配置方法如下:1.提供Unix系统的IP地址2.提供Unix系统的主机名称3.在Unix系统/etc/syslog.conf文件最后追加以下2行*.err @IP @IP@IP为采集机地址下面的命令停止syslog服务ps –ef|grep syslogdkill PID5.下面的命令启动syslog服务/usr/sbin/syslogd -D1.3 AIX通过Unix系统的Syslog服务转发系统日志到采集服务器,具体配置方法如下:1.提供Unix系统的IP地址2.提供Unix系统的主机名称3.在Unix系统/etc/syslog.conf文件最后追加以下2行*.err @IP (中间以Tab健分割) @IP (中间以Tab健分割)注:@IP为采集机地址5.用下面的命令停止syslog服务stopsrc -s syslogd6.用下面的命令启动syslog服务startsrc -s syslogd2 Windows主机由于Windows系统自身不具备日志转发功能,所以对Windows事件采集,需要在被管设备中安装一个Agent采集程序,完成对windows系统事件的采集。
具体配置方法如下:1、将evtsys.zip中的两个文件(evtsys.exe和evtsys.dll)展开到Windows系统system32目录下2、然后运行下面的命令安装服务:evtsys -i -h IP -p 514-h为syslog 服务器地址-p为syslog服务器端口3、在系统服务面板中,将eventlog to syslog服务的启动类型设定改为自动并启动该服务。
3网络设备3.1 Cisco路由器通过Cisco路由器的Syslog服务转发系统日志到采集服务器,具体配置方法如下:device#conf tdevice(config)#logging ondevice(config)#logging IP //日志服务器的IP地址device(config)#logging trap critical //日志记录级别,可用"?"查看详细内容device(config)#logging source-interface e0 //日志发出用的源IP地址(e0为发出日志的端口,使用哪个端口由实际情况决定)device(config)#service timestamps log datetime localtime //日志记录的时间戳设置检验device#sh logging保存配置device#copy runningconfigure startingconfigure3.2 Radware路由器通过Radware路由器的Syslog服务转发系统日志到采集服务器,具体配置方法如下:1. Access the Device Access tab in the Management Preferences window.2. In the SysLog Reporting area, enter the IP address of the device running the syslog service (syslog) in the Syslog Station Address field.3. Select the Syslog Operation checkbox to enable syslog reporting.Click Apply to implement your changes and OK to close the window.3.3 Cisco交换机通过Cisco路由器的Syslog服务转发系统日志到采集服务器,具体配置方法如下:device#conf tdevice(config)#logging ondevice(config)#logging IP //日志服务器的IP地址device(config)#logging trap critical //日志记录级别,可用"?"查看详细内容device(config)#logging source-interface f0/1 //日志发出用的源IP地址(f0/1为发出日志的端口,使用哪个端口由实际情况决定)device(config)#service timestamps log datetime localtime //日志记录的时间戳设置检验device#sh logging保存配置device#copy runningconfigure startingconfigure4 TMCM通过在采集服务器上部署趋势防病毒采集脚本,采集趋势防病毒日志,具体配置方法如下:1.在TMCM数据库中开设一个数据库访问帐号trendvirus_coll,密码与账号相同;2.设置权限,使得trendvirus_coll用户可以访问tb_ AVVirusLog、tb_entityinfo;5 RSA ACE Server通过在采集服务器上开启Syslog服务,收集RSA ACE的日志,具体配置方法如下:1.Click Start > Programs > ACE/Server > Database Administration;2.在管理界面上 click Log > Log to System Log.(确保Log to System Log.选项前面打上勾“√”);3.将evtsys.exe和evtsys.dll拷贝到RSA ACE所在的Windows主机的system32目录下;4.Regsvr32 evtsys.dll;5.Evtsys –i –h ip –p 514;6.确认该服务已经启动,且处于自动状态;注:IP为采集机的地址6 绿盟NIDS通过在采集服务器上运行Snmptrapmanager.bat,接收NIDS通过SNMP 发过来的事件,具体配置方法如下:1.在NIDS端打开SNMP功能,并将发送的地址指向采集机;7 Cisco Firewall通过在采集服务器上开启Syslog服务收集Cisco Pix的日志,具体配置方法如下:1.device#conf t2.device(config)#logging on3.device(config)#logging IP //集服务器的IP地址4.device(config)#logging trap critical //日志记录级别,可用"?"查看详细内容5.device(config)#logging source-interface e0 //日志发出用的源IP地址6.device(config)#service timestamps log datetime localtime //日志记录的时间戳设置7.device#sh logging //检验设置注:根据实际情况IP取业务系统采集机地址8 Netscreen Firewall通过在采集服务器上开启Syslog服务,收集Netscreen Firewall的日志,具体配置方法如下:1.set syslog config IP local4 local42.set syslog traffic3.set syslog enable4.set log module system level critical destination syslog5.save注:根据实际情况IP取业务系统采集机地址9 CheckPoint Firewall部署在网络内的checkpoint防火墙是由其manager组件统一管理的,Manger模块负责定义所管理的防火墙的策略,并记录个防火墙产生的各种事件。
即一个Manager可以管理一组防火墙,同时其Manger主机支持opsec协议,可以把记录的日志转发给授权的opsec客户端系统。
具体配置方法如下: 管理端配置步骤1.在Checkpoint Manager组件上增加一条规则到当前的防火墙上,允许Agent所在的采集机和checkpoint防火墙的Manager主机建立LEA连接;SOURCE DESTINATION SERVICEACTIONTRACK INSTAL L ON TIME COMMENTWizard Firewall LEA ACCELONG GATEWAYS ANY CommentsPT•Source: 采集机IP地址:IP,这台主机需要通过OPSEC API和防火墙的Manager建立连接,和接收防火墙信息/告警•Destination:防火墙的管理主机•Service:FW1_lea•Action: Accept•Track: Log2.进入防火墙管理主机$FWDIR/conf目录,修改fwopsec.conf文件,在文件中增加以下内容:#LEA CONF CLEAR: (1 or NG FW)lea_server auth_port 0lea_server port 181843.在命令行状态下输入:fwstop/fwstart,重新启动checkpoint防火墙;4.将Checkpoint Agent拷贝到采集机%WORKBENCH_HOME%/elements/checkpoint目录下;采集端配置步骤5.编辑lea_client.conf文件,增加以下内容:lea_server ip <opsec服务器地址>lea_server port 181846.在%WORKBENCH_HOME%/elements 目录下,执行checkpoint\lea_client checkpoint\lea_client.conf –new命令,检查是否可以收到防火墙的事件,如果有则配置成功,否则检查前面的步骤;7.Agent Port参数如下:Port Name Cp_opsec (名称可以随意,主要是标示作用)Rx/Tx Type Persistent ProcessRx/Tx Value checkpoint/\lea_client checkpoint/\lea_client.conf -new AgentT1_CHKP_FRW1_xxxx_OPSC_Bv41010 LinkTrust Firewall通过在采集服务器上开启Syslog服务,收集LinkTrust Firewall的日志,具体配置方法如下:1.https://防火墙地址:9898;2.登录防火墙WEB配置界面(缺省的用户名/密码为:admin/admin12);3.点击日志页面,进入日志设置栏目,选中配置SYSLOG;4.在Syslog主机之一右面的框中,输入采集服务器的IP地址;5.进入日志策略栏目,点击新增日志策略按钮,新增一条日志策略;6.添加全部模块,选中emergency、alert、critical、error、warnning等五个级别,在目的地中选中sylog,确认该条策略;7.进入保存栏目,保存该条策略,保存后再应用该条策略;11 LinkTrust IDSNIDS 7.2入侵检测设备支持外部应用程序接口Syslog,可以把记录的事件日志转发给采集机,具体配置方法如下:1.使用用户帐号登陆系统,该帐号需要具备查看告警事件的权限;2.使用新建立的帐号,设置告警事件转发到事件采集服务器;。