部署日志服务器

Loki日志服务最佳实践1. 介绍Loki是一个开源的水平可扩展的日志聚合系统，由Grafana Labs开发。

它的设计目标是提供一个高效、低成本的日志收集和查询解决方案。

Loki通过存储和索引日志数据，使用户能够轻松地搜索、过滤和分析日志信息。

本文将介绍Loki日志服务的最佳实践，包括Loki的部署、配置和使用方法，以及一些性能优化和安全性建议。

2. 部署Loki2.1 单节点部署Loki可以在单节点上部署，这种方式适用于小规模的部署环境。

在单节点部署中，Loki的各个组件（如Loki服务、Promtail和Grafana）都运行在同一台机器上。

以下是单节点部署的步骤：1.安装Docker和Docker Compose。

2.创建一个名为docker-compose.yml的文件，并在其中定义Loki、Promtail和Grafana的服务。

3.运行docker-compose up -d命令启动Loki服务。

2.2 多节点部署对于大规模的生产环境，建议采用多节点部署方式。

多节点部署可以提高Loki的性能和可靠性。

以下是多节点部署的步骤：1.使用Kubernetes或Docker Swarm等容器编排工具创建一个Loki集群。

2.在每个节点上部署Loki服务，并使用分布式存储（如S3、GCS或AzureBlob Storage）存储日志数据。

3.使用Promtail将日志数据发送到Loki集群。

3. 配置Loki3.1 配置Loki服务Loki服务的配置文件为loki.yaml，可以在其中指定日志存储位置、索引配置、查询超时等参数。

以下是一个示例的loki.yaml配置文件：auth_enabled: falseingester:lifecycler:address: 127.0.0.1ring:kvstore:store: inmemoryreplication_factor: 1final_sleep: 0schunk_idle_period: 5mmax_chunk_age: 1hchunk_target_size: 1048576chunk_retain_period: 30smax_transfer_retries: 0rate_limit: 0throughput_limit: 0schema_config:configs:- from: 2020-01-01store: boltdbobject_store: filesystemschema: v11index:prefix: index_period: 168hstorage_config:boltdb:directory: /data/loki/indexfilesystem:directory: /data/loki/chunks limits_config:enforce_metric_name: falsereject_old_samples: truereject_old_samples_max_age: 168h max_entries_limit: 0max_label_name_length: 0max_label_value_length: 0max_labels_per_metric: 0max_series_per_metric: 0max_shards_per_query: 0table_manager:retention_deletes_enabled: false retention_period: 0s3.2 配置PromtailPromtail是Loki的客户端代理，用于收集和发送日志数据到Loki服务。

天融信日志服务器配置说明书WEIHUA system office room 【WEIHUA 16H-WEIHUA WEIHUA8Q8-天融信日志服务器配置说明书（专用版）VER:杭州市工商行政管理局网络安全二期项目工程文档--------日志服务器配置说明书北京天融信网络安全技术有限公司杭州分公司2004年12月天融信安全技术高品质的保证文档管理文档信息文档名称杭州市工商局网络安全二期项目工程文档分发控制版本控制目录安装数据库服务器系统要求：操作系统：中英文windows 2000/2003 服务器版数据库系统：MS SQL Server 2000 + Service Pack 3 ( 不支持 MS SQL Server )最低配置：CPU ：PIII 内存：256M 硬盘：10G推荐配置：CPU：P4 内存：512M 硬盘 80G安装步骤：1. 插入SQL Server 2000 安装光盘：2. 选择<安装SQL Server 2000 组件>，开始安装数据库服务器，依照安装向导的提示，安装数据库服务器和客户端工具。

3. 在安装类型页面，用自定义方式，选择程序文件和数据文件的安装目的文件夹：【注意】选择自定义也方便了加速查询的排序次序的设置，强烈建议修改默认的排序方式为二进制。

另外，数据文件所在文件夹分区必须是NTFS 格式，如果是FAT32 格式的分区，文件的限制为4G，当超过4G 时，文件无法继续增长。

同时建议不要安装SQL数据文件与程序文件在系统盘，可单独安装数据文件到大的磁盘与系统盘分开。

4. 下一步，选择身份验证模式为<混合模式>，输入sa 登录密码，请管理员务必牢记：5. 在接下来的排序规则设置页面，本系统推荐“二进制”排序，这样可以提高查询速度：6. 设置工作完成后，安装程序开始复制文件。

7. SQL Server 安装完成。

8. 安装Microsoft SQL Server 2000 Service Pack 3。

天融信日志服务器配置说明书Document number：NOCG-YUNOO-BUYTT-UU986-1986UT天融信日志服务器配置说明书（专用版）VER: 杭州市工商行政管理局网络安全二期项目工程文档--------日志服务器配置说明书北京天融信网络安全技术有限公司杭州分公司2004年12月天融信安全技术高品质的保证文档管理文档信息分发控制版本控制目录安装数据库服务器系统要求：操作系统：中英文windows 2000/2003 服务器版数据库系统：MS SQL Server 2000 + Service Pack 3 ( 不支持 MS SQL Server )最低配置：CPU ：PIII 内存：256M 硬盘：10G推荐配置：CPU：P4 内存：512M 硬盘 80G安装步骤：1. 插入SQL Server 2000 安装光盘：2. 选择<安装SQL Server 2000 组件>，开始安装数据库服务器，依照安装向导的提示，安装数据库服务器和客户端工具。

3. 在安装类型页面，用自定义方式，选择程序文件和数据文件的安装目的文件夹：【注意】选择自定义也方便了加速查询的排序次序的设置，强烈建议修改默认的排序方式为二进制。

另外，数据文件所在文件夹分区必须是NTFS 格式，如果是FAT32 格式的分区，文件的限制为4G，当超过4G 时，文件无法继续增长。

同时建议不要安装SQL数据文件与程序文件在系统盘，可单独安装数据文件到大的磁盘与系统盘分开。

4. 下一步，选择身份验证模式为<混合模式>，输入sa 登录密码，请管理员务必牢记：5. 在接下来的排序规则设置页面，本系统推荐“二进制”排序，这样可以提高查询速度：6. 设置工作完成后，安装程序开始复制文件。

7. SQL Server 安装完成。

8. 安装Microsoft SQL Server 2000 Service Pack 3。

Rsyslog+LogAnalyzer+MySQL部署日志服务器一、安装并设置lamp环境1、MySQL数据库安装：（参考MySQL安装文档）2、编译安装源码版apache先安装apr，需要1.4.0以上的版本# tar xf apr-1.5.2.tar.bz2 -C /usr/src/# cd /usr/src/apr-1.5.2# ./configure --apr报错解决rm: cannot remove `libtoolT': No such file or directory ：在vim configure 里面RM='$RM -f' 这里的$RM后面一定有一个空格。

如果后面没有空格，直接连接减号，就依然会报错。

把RM='$RM'改为RM='$RM -f'# make ;make install# tar xf apr-util-1.5.4.tar.bz2 -C /usr/src/# cd /usr/src/apr-util-1.5.4/# ./configure --with-apr=/usr/local/apr/bin/apr-1-config# make ;make install# echo /usr/local/apr/lib >> /etc/ld.so.conf.d/lamp.conf# ldconfig----------------------------------# tar xf httpd-2.4.20.tar.bz2 -C /usr/src/# cd /usr/src/httpd-2.4.20/# ./configure --enable-modules=all --enable-mods-shared=all --enable-so --enable-rewrite --with-mpm=prefork --with-apr=/usr/local/apr/bin/apr-1-config --with-apr-util=/usr/local/apr/bin/apu-1-config--错误:可能会出现下面的错误，表示pcre-devel没安装；解决方法:yum install pcre-devel后，再用上面参数再编译configure: error: pcre-config for libpcre not found. PCRE is required and available from /# make# make install# ls /usr/local/apache2/ --确认这个目录产生后，说明apache编译安装成功bin build cgi-bin conf error htdocs icons include logs man manual modules3、编译源码安装php# tar xf php-5.6.21.tar.xz -C /usr/src/# cd /usr/src/php-5.6.21# ./configure --with-apxs2=/usr/local/apache2/bin/apxs --with-mysql=mysqlnd --with-mysqli=mysqlnd --with-pdo-mysql=mysqlnd --with-openssl --with-curl --with-zlib --enable-zip --with-gd --with-freetype-dir --with-jpeg-dir --with-png-dir --enable-sockets -with-xmlrpc --enable-soap --enable-opcache --enable-mbstring --enable-mbregex --enable-pcntl --enable-shmop --enable-sysvmsg --enable-sysvsem --enable-sysvshm --enable-calendar --enable-bcmath --with-gettext# make --make成功后，会显示让你make test,不用做# make install# ls /usr/local/apache2/modules/libphp5.so --确认有这个.so模块文件，就表示编译php成功---------------------------------------如果make报类似下面的错误的话；或者你第一次make不成功，第二次重做，建议你删除/usr/src/php-5.6.11源码目录，重新解压，并使用make ZEND_EXTRA_LIBS='-liconv'来编译collect2: ld returned 1 exit statusmake: *** [sapi/fpm/php-fpm] Error 1--需要使用下面的参数来编译make ZEND_EXTRA_LIBS='-liconv'make install----------------------------------------------------4、lamp环境配置：配置中文优先支持# vim /usr/local/apache2/conf/httpd.confLoadModule negotiation_module modules/mod_negotiation.so --此模块打开注释Include conf/extra/httpd-languages.conf --打开此选项，扩展配置文件就生效了# vim /usr/local/apache2/conf/extra/httpd-languages.confDefaultLanguage zh-CN --打开注释，默认语言集改为中文LanguagePriority zh-CN en ca cs da de el eo es et fr he hr it ja ko ltz nl nn no pl pt pt-BR ru sv tr zh-TW --语言集优先集，把zh-CN 写到前面-----------------------------------------------------------------------------------配置网站家目录# vim /usr/local/apache2/conf/httpd.confDocumentRoot "/web" --修改网站家目录<Directory "/web"> --相应的目录容器那里也要修改-----------------------------------------------------------------------------------建立apache家目录# mkdir /web④配置apache对php支持也就是配置apache和php的联系# vim /usr/local/apache2/conf/httpd.confLoadModule php5_module modules/libphp5.so --找到这一句，在这句下面加上两句AddHandler php5-script .phpAddType text/html .php--这两句的意思是以.php结尾的文件都认为是php程序文件，注意两句话的.php前面都是有一个空格的--------------------------------------------------------------------------------------默认主页加上index.php,并放在index.html前# vim /usr/local/apache2/conf/httpd.confDirectoryIndex index.php index.html-----------------------------------------------------------------------------------------⑤启动apache# /usr/local/apache2/bin/apachectl startAH00557: httpd: apr_sockaddr_info_get() failed for AH00558: httpd: Could not reliably determine the server's fully qualified domain name, using 127.0.0.1. Set the 'ServerName' directive globally to suppress this message--启动时报错：在hosts中关联本地计算机名。

Linux服务器搭建日志审计系统在当前信息化社会的背景下，数据安全与合规性成为了企业和组织重要的课题。

为了保证服务器的安全性和数据的完整性，搭建一个高效可靠的日志审计系统势在必行。

本文将介绍如何使用Linux服务器搭建日志审计系统，并提供详细的配置步骤与注意事项。

一、准备工作在正式开始搭建日志审计系统之前，我们需要先进行准备工作。

首先，确保已经安装了最新版本的Linux操作系统，如CentOS、Ubuntu 等。

其次，确保服务器已连接到互联网，并可以正常访问外部网络。

最后，根据实际需求确定所需的审计系统软件和硬件配置。

二、安装必要的软件1. 安装审计系统软件在Linux服务器上安装审计系统软件是搭建日志审计系统的第一步。

根据实际需求选择合适的软件，在终端中使用包管理工具进行安装。

以CentOS系统为例，可以使用以下命令安装"Audit"软件包：sudo yum install audit2. 配置审计规则安装完审计系统软件后，我们需要配置审计规则以实现对目标系统的审计。

在Linux系统中，审计规则存储在"/etc/audit/audit.rules"文件中。

可以使用文本编辑器打开该文件，并根据需要添加或修改规则。

例如，可以使用以下命令打开该文件：sudo vi /etc/audit/audit.rules根据实际需求，可以配置文件访问、系统调用、进程创建等不同类型的审计规则。

配置完成后，保存文件并退出编辑器。

三、配置日志存储与备份配置日志存储与备份是搭建日志审计系统的关键一步。

在Linux系统中，可以通过修改日志存储路径、设置日志文件大小限制和备份策略等方式实现日志存储与备份控制。

1. 修改日志存储路径默认情况下，Linux系统的审计日志存储在"/var/log/audit"目录下。

如果需要修改存储路径，可以使用以下命令编辑"/etc/audit/auditd.conf"配置文件：sudo vi /etc/audit/auditd.conf找到并修改"log_file"参数的值，指定新的存储路径。

设置 Syslog 日志服务器用来获取交换机日志（Syslog 日志服务器用来获取交换机日志CISCO和H3C交换机的设置）注:配置日志服务器前先检查是否已安装了SYSLOG服务执行 ps -e |grep syslogd 查看进程是否存在没有安装 # apt-get install syslogd 安装,或下载用安装包H3C交换机的设置举例1. 组网需求将系统的日志信息发送到 linux 日志主机；日志主机的IP 地址为 1.2.0.1/16；信息级别高于等于 informational 的日志信息将会发送到日志主机上；日志信息的输出语言为英文，允许输出信息的模块为ARP 和 CMD。

2. 组网图3. 配置步骤(1) 设备上的配置。

# 开启信息中心。

<Sysname> system-view[Sysname] info-center enable# 指定向日志主机输出日志信息的通道为 loghost 通道。

[Sysname] info-center loghost 1.2.0.1 channel loghost# 关闭所有模块日志主机的 log、trap、debug 的状态。

[Sysname] info-center source default channel loghost debug state off log state off trap state off注意：由于系统对各通道允许输出的系统信息的缺省情况不一样，所以配置前必须将所有模块的需求通道（本例为loghost ）上log、trap、debug 状态设为关闭，再根据当前的需求配置输出相应的系统信息。

可以用display channel 命令查看通道的状态。

# 将 IP 地址为 1.2.0.1/16 的主机作为日志主机，设置信息级别为informational，输出语言为英文，允许输出信息的模块为所有模块。

[Sysname] info-center loghost 1.2.0.1 facility local7 language english [Sysname] info-center source default channel loghost log level informational 2) 日志主机上的配置。

安装过程1、运行Kiwi Syslog 安装包里的Kiwi_Syslog_Server_9.2.1.Eval.setup.exe，弹出安装界面，点击“I agree”2、选择安装模式为“Install Kiwi Syslog Server as a service”，两者的区别是，前者可以在关闭软件主界面后仍然能记录日志，后者只能瞬时记录日志3、选择安装的用户，本地系统账户还是一个管理员的账户4、勾选“Install Kiwi Syslog Web Access”（可以不勾选），因为他提示了此功能只限注册用户使用、5、选择安装的组件6、选择安装的路径7、若第四步中没有勾选安装Kiwi Syslog Web Access，则会提示安装成功，若勾选了，则会提示安装Kiwi Syslog Web Access必备组件的向导，安装过程会自动下载并安装这些组件、8、之后就会弹出Kiwi Syslog Web Access的安装向导过程，也比较简单。

9、在Kiwi Syslog的安装包里还有个工具SolarWinds_LogForwarder_1.1.15_Eval_Setup.exe，安装也比较简单，这里不详细介绍。

配置过程Kiwi Syslog Server的各种详细配置主要在file-setup里面。

我们主要介绍2个方面的配置1、log文件的存放路径，点击Rules-Actions-Log to file，这里我们就可以设置存放的位置以及存放的格式2、配置计划任务，点击Rules-Shedules-Add new scheduleSchedule字段添加日志计划频率（按小时算、每6个小时记录一次，一天记录4次）Source字段（设置临时存储日志的路径）Destination字段（设置最终日志存储目录）实例测试Windows环境（亲测）把这两个文件拷贝到c:\windows\system32目录下。

打开Windows命令提示符（开始－>运行输入CMD）C:\>evtsys –i –h 192.168.10.100-i 表示安装成系统服务-h 指定log服务器的IP地址如果要卸载evtsys,则：net stop evtsysevtsys -u启动该服务:C:\>net start evtsys打开windows组策略编辑器(开始->运行输入gpedit.msc)在windows设置－> 安全设置－> 本地策略－>审核策略中，打开你需要记录的windows日志。