搭建日志服务器

计算机或网络设备的日志记录了计算机或网络设备的工作状况与操作，比如：哪个用户在什么时间登录了设备？这位用户对设备进行了哪些操作等等，通过查看日志可以让管理人员了设备的运行状况与状态。

我们的计算机Windows操作系统本身有自己的日志系统，一些可以网管的交换机、路由器等也有自己的日志系统。

当然我们也可以借助第三方软件架设一个日志服务器，专门用来存放网络设备的日志系统。

本篇文章以H3C E126A交换机为例介绍如何架设日志服务器，如何让H3C E126A把日志发送到日志服务器上。

一、架设日志服务器本例中使用3Csyslog version 1.0为H3C E126A架设一个日志服务器。

图一安装3Csyslog图二图三选择安装类型，通常为Typical图图提示安装成功图五 3Csyslog Version 1.0界面图六 3Csyslog配置——安全配置：设置哪台网络设备可以把日志消息发送到该日志服务器上图七配置日志文件的名称及存放位置二、配置H3C E126A以下是配置命令，将给予说明。

********************************************************************* ************ Copyright(c) 2004-2008 Hangzhou H3C Tech. Co., Ltd. All rights reserved. ** Without the owner's prior written consent, ** no decompiling or reverse-engineering shall be allowed. ********************************************************************** ***********Login authenticationUsername:senyaPassword:<xixian-sunmiaocz-zx-e126a>%Apr 2 03:42:30:589 2000 xixian-sunmiaocz-zx-e126a SHELL/5/LOGIN:- 1 - senya(10.63.254.198) in unit1 login<xixian-sunmiaocz-zx-e126a>superPassword:User privilege level is 3, and only those commands can be usedwhose level is equal or less than this.Privilege note: 0-VISIT, 1-MONITOR, 2-SYSTEM, 3-MANAGE<xixian-sunmiaocz-zx-e126a><xixian-sunmiaocz-zx-e126a>sysSystem View: return to User View with Ctrl+Z.[xixian-sunmiaocz-zx-e126a]undo info-center loghost 10.63.254.198 [xixian-sunmiaocz-zx-e126a]display info-center //查看信息中心属性Information Center: enabled //enabled表示允许Log host:Console:channel number : 0, channel name : consoleMonitor:channel number : 1, channel name : monitorSNMP Agent:channel number : 5, channel name : snmpagentLog buffer:enabled,max buffer size : 1024, current buffer size : 512, current messages : 285, channel number : 4, channel name : logbufferdropped messages : 0, overwritten messages : 0Trap buffer:enabled,max buffer size : 1024, current buffer size : 256, current messages : 15, channel number : 3, channel name : trapbufferdropped messages : 0, overwritten messages : 0Information timestamp setting:log - date, trap - date, debug - boot[xixian-sunmiaocz-zx-e126a][xixian-sunmiaocz-zx-e126a]info-center loghost 10.63.254.198 //设置信息中心日志服务器IP地址[xixian-sunmiaocz-zx-e126a]display info-center //再次查看信息中心属性Information Center: enabledLog host:10.63.254.198, channel number : 2, channel name : loghostlanguage : english, host facility local : 7Console:channel number : 0, channel name : consoleMonitor:channel number : 1, channel name : monitorSNMP Agent:channel number : 5, channel name : snmpagentLog buffer:enabled,max buffer size : 1024, current buffer size : 512, current messages : 287, channel number : 4, channel name : logbufferdropped messages : 0, overwritten messages : 0Trap buffer:enabled,max buffer size : 1024, current buffer size : 256, current messages : 15, channel number : 3, channel name : trapbufferdropped messages : 0, overwritten messages : 0Information timestamp setting:log - date, trap - date, debug - boot[xixian-sunmiaocz-zx-e126a]图八使用3Csyslog查看交换机E126 A的日志如果有多台网络设备，可以把多个网络设备的日志发送到同一台日志服务器集中管理日志，这样就方便及时、全面了解网络的运行状况。

CentOS7.4搭建利用Rsyslog+LogAnalyzer+MySQL部署日志服务器简介LogAnalyzer 是一款syslog日志和其他网络事件数据的Web前端。

它提供了对日志的简单浏览、搜索、基本分析和一些图表报告的功能。

数据可以从数据库或一般的syslog文本文件中获取，所以LogAnalyzer不需要改变现有的记录架构。

基于当前的日志数据，它可以处理syslog日志消息，Windows事件日志记录，支持故障排除，使用户能够快速查找日志数据中看出问题的解决方案。

LogAnalyzer 获取客户端日志会有两种保存模式，一种是直接读取客户端/var/log/目录下的日志并保存到服务端该目录下，一种是读取后保存到日志服务器数据库中，推荐使用后者。

LogAnalyzer 采用php开发，所以日志服务器需要php的运行环境，本文采用LAMP。

二、系统环境Rsyslog Server OS：CentOS Linux release 7.4.1708 (Core)Rsyslog Server IP：192.168.123.100Rsyslog 版本：rsyslog-8.24.0-12.el7.x86_64LogAnalyzer 版本：LogAnalyzer 3.6.5 (v3-stable)Apache版本：httpd-2.4.6-67.el7.centos.x86_64Mariadb版本（CentOS7版本以上）：mariadb-5.5.56-2.el7.x86_64PHP版本：php-5.4.16-42.el7.x86_64、php-gd-5.4.16-42.el7.x86_64关闭防火墙：systemctl stop firewalld ; systemctl disable firewalld关闭SElinux：setenforce 0 ; vi /etc/selinux/config 修改SELINUX=disabled 关闭NetworkManager：systemctl stop NetworkManager ;systemctl disable NetworkManagerRsyslog Client IP：192.168.123.101三、安装并设置LAMP环境3.1、安装LAMP环境# yum -y install httpd mariadb-server mariadb php php-mysql3.2 启动服务并加入开机启动# systemctl start httpd# systemctl enable httpd# systemctl start mariadb# systemctl enable mariadb3.3 设置MySQL root 密码# mysqladmin -uroot password '123456'3.4 测试php运行环境# cat > /var/www/html/index.php << eof> <?php> phpinfo();> ?>> eof四、安装服务器软件安装rsyslog软件和rsyslog 连接MySQL数据库的模块# yum -y install rsyslog rsyslog-mysql五、配置服务器端5.1 导入rsyslog-mysql 数据库文件# cd /usr/share/doc/rsyslog-8.24.0/# mysql -uroot -p123456 < mysql-createDB.sql5.2 创建rsyslog用户在mysql下的相关权限# mysql -uroot -p123456Welcome to the MariaDB monitor. Commands end with ; or \g.Your MariaDB connection id is 117Server version: 5.5.56-MariaDB MariaDB ServerCopyright (c) 2000, 2017, Oracle, MariaDB Corporation Ab and others.Type 'help;' or '\h' for help. Type '\c' to clear the current input statement. MariaDB [(none)]> grant all on Syslog.* to rsyslog@localhost identified by '123456';MariaDB [(none)]> flush privileges;MariaDB [(none)]> exit5.3 配置rsyslog配置文件# vi /etc/rsyslog.conf在#### MODULES #### 下添加下面两行：$ModLoad ommysql*.* :ommysql:localhost,Syslog,rsyslog,123456然后把下面三行前面的井号去掉：$ModLoad immark #immark是模块名，支持日志标记$ModLoad imudp #imupd是模块名，支持udp协议$UDPServerRun 514 #允许514端口接收使用UDP和TCP协议转发过来的日志5.4、重启rsyslog服务# systemctl restart rsyslog六、配置客户端6.1 检查rsyslog 是否安装# rpm -qa|grep rsyslog6.2 配置rsyslog 客户端发送本地日志到服务端# vi /etc/rsyslog.conf在最后一行增加下面这行内容，即客户端将本地日志发送到服务器。

日志服务器搭建文档syslog详解1.syslog简介Syslog系统日志，记录linux系统启动以及运行的过程中产生的信息，rhel5.x系统默认自带了syslog，其配置文件是/etc/syslog.conf（rhel6.x的配置文件为/etc/rsyslog.conf）Syslog有两个进程：klogd和syslogdklogd：记录内核生成的日志syslogd：记录内核意外的信息2.syslog配置文件详解配置文件的定义格式为：factility.priority action（即设备.优先级动作）2.1factility可以理解为日志来源，常用的factility有以下几种：auth#有pam_pwdb报告认证活动authpriv#包括特权信息如用户名在内的认证活动cron#cron和at有关的计划任务daemon#与initd守护进程有关的后台进程kernel#内核消息队列lpr#打印机mark#syslog内部日志时间user#由用户程序生成的信息syslog#有syslog生成的信息uucp#由uucp生成的信息local0-local7#自定义程序使用2.2level级别emerg#紧急alert#警报cirt#关键errror#错误warning#警告notice#通知info#信息debug#调试2.3action(动作)日志记录位置系统上的绝对路径#如：/var/log/xxxx终端#如：/dev/console@host#远程主机，如：@172.16.133.185*#登陆到系统中的所有用户2.4rhel5.x系统上自带配置文件/etc/syslog.conf的分析*.info;mail.none;authpriv.none;cron.none/var/log/messages #表示将所有日志为info级别的，但是不包括mail，authpriv,crond相关信息，记录到/var/log/messages中authpriv.*/var/log/secure #表示将权限相关的信息记录到/var/log/secure1.mail.*-/var/log/maillog #将mail相关的信息异步写到磁盘/var/log/maillog2.5配置syslog日志服务器2.5.1服务器端设置vi/etc/sysconfig/syslog将sysLOGD_OPTIONS修改为：sysLOGD_OPTIONS=“-r–m0”#-r表示接受远程日志重启syslog服务,/etc/init.d/syslog restart(rhel6.x启动方式为/etc/init.d/rsyslog restart）2.5.2client端设置在/etc/syslog.conf中添加一条，如下：*.info;authpriv.*@172.16.133.185此时的日志服务器记录的信息为/var/log/messages,/var/log/secure。

如何建立日志服务器要建立一个日志服务器，您需要考虑以下几个步骤：1.确定需求和目标：首先，确定您建立日志服务器的需求和目标。

您需要思考的问题包括：为何需要建立日志服务器？要记录什么类型的日志？日志数据的大小和持续时间预计为多少？谁将使用这些日志数据以及他们的需求是什么？等等。

2.选择合适的日志管理工具：根据您的需求，选择适合的日志管理工具。

一些常见的日志管理工具包括ELK（Elasticsearch、Logstash和Kibana）、Splunk、Graylog等。

这些工具提供了强大的、分析和可视化功能，可以帮助您更好地管理和利用日志数据。

3.选择合适的硬件和操作系统：为日志服务器选择合适的硬件和操作系统。

考虑要记录的日志数据量以及预计的流量，并确保您的硬件能够满足这些要求。

此外，选择您熟悉和喜欢的操作系统，例如Linux、Windows Server等。

4.安装和配置日志管理工具：根据您选择的日志管理工具的文档和指南，安装和配置它们。

这可能涉及到安装和配置数据库、引擎、收集代理等组件。

确保您的日志管理工具能够正确地连接到您的日志源，并能够按需记录和存储日志数据。

5.定义日志格式和字段：根据您的需求，定义适合的日志格式和字段。

这将有助于日志管理工具更好地索引和日志数据。

常见的日志格式包括CSV、JSON、Syslog等。

您可以根据需要定义自定义字段，以便更好地跟踪和分析特定的日志信息。

6.配置日志源和收集代理：根据您的需求，配置日志源和收集代理。

这可能包括为应用程序、服务器、网络设备等配置日志输出，并确保日志数据能够顺利传输到您的日志服务器。

您可以使用各种方法，如日志文件监视、Syslog、API调用等来收集日志数据。

7.设置自动化和告警：根据您的需求，设置自动化和告警机制。

例如，您可以配置自动化脚本来定期备份和归档日志数据。

您还可以设置告警规则，以便在发生重要事件或问题时及时接收通知。

8.监控和维护：定期监控和维护您的日志服务器。

2011年11月（上）［摘要］本文论述了搭建集中管理日志服务器的技术及配置，并分析了在H3C 交换机上的应用。

［关键词］日志服务器；交换机；安全搭建集中管理日志服务器技术及应用王春璞卢宁（河北省电力研究院，河北石家庄050021）随着信息网络的互联，无论对企业还是个人都提供了更多更快的信息和造就了更大的商机，同时也为黑客大开方便之门，提供了大量的入侵机会。

黑客攻击变得相当容易，而且通过互联网可以轻而易举的窃取信息、篡改数据和非法攻击，对网络使用者及社会造成的危害和损失日益增加。

同时伴随企业信息化的不断发展和壮大，企业原有的网络变得日益庞大而复杂，面对很多7×24的实时运行的网络设备、主机系统以及各种业务应用系统，对如何通过集中式管理来提高企业网络管理的透明性和安全性提出了挑战。

综合上述两个原因，利用日志服务器记录设备运行信息，强化日志安全审计功能，分析日志信息的特点，抵御黑客攻击，提升IT 部门的服务质量，成为网络管理中很重要的工作。

根据实际工作经验，介绍一种集中管理日志服务器架设的技术及相关应用，为设备的统一管理提供详细的日志数据。

1集中管理日志服务器的搭建集中管理日志服务器可利用Syslog 标准协议实现日志信息的接收。

Syslog 是一种工业标准协议，用来记录设备的行为日志。

Syslog 允许一个设备通过IP 地址，把事件信息传递给该信息的接收者，同时也允许设备（如：路由器、交换机、防火墙、服务器等）向日志服务器发送事件信息。

因此，使用Syslog 协议接收和发送日志信息是搭建集中管理日志服务器简单而有效手段。

集中管理日志服务器是一套软硬件结合的系统。

为了确保日志数据的安全，需要一台专门的服务器来承担，服务器的性能没有特殊要求，具有足够的存储空间即可。

在当前技术条件下，日志服务器的硬件要求比较容易满足，投入并不大。

同时，日志服务器还需要软件系统来完成日志的传输和管理。

在Windows2003下使用3CSyslog 软件作为日志主机软件。

安装过程1、运行Kiwi Syslog 安装包里的Kiwi_Syslog_Server_9.2.1.Eval.setup.exe，弹出安装界面，点击“I agree”2、选择安装模式为“Install Kiwi Syslog Server as a service”，两者的区别是，前者可以在关闭软件主界面后仍然能记录日志，后者只能瞬时记录日志3、选择安装的用户，本地系统账户还是一个管理员的账户4、勾选“Install Kiwi Syslog Web Access”（可以不勾选），因为他提示了此功能只限注册用户使用、5、选择安装的组件6、选择安装的路径7、若第四步中没有勾选安装Kiwi Syslog Web Access，则会提示安装成功，若勾选了，则会提示安装Kiwi Syslog Web Access必备组件的向导，安装过程会自动下载并安装这些组件、8、之后就会弹出Kiwi Syslog Web Access的安装向导过程，也比较简单。

9、在Kiwi Syslog的安装包里还有个工具SolarWinds_LogForwarder_1.1.15_Eval_Setup.exe，安装也比较简单，这里不详细介绍。

配置过程Kiwi Syslog Server的各种详细配置主要在file-setup里面。

我们主要介绍2个方面的配置1、log文件的存放路径，点击Rules-Actions-Log to file，这里我们就可以设置存放的位置以及存放的格式2、配置计划任务，点击Rules-Shedules-Add new scheduleSchedule字段添加日志计划频率（按小时算、每6个小时记录一次，一天记录4次）Source字段（设置临时存储日志的路径）Destination字段（设置最终日志存储目录）实例测试Windows环境（亲测）把这两个文件拷贝到c:\windows\system32目录下。

打开Windows命令提示符（开始－>运行输入CMD）C:\>evtsys –i –h 192.168.10.100-i 表示安装成系统服务-h 指定log服务器的IP地址如果要卸载evtsys,则：net stop evtsysevtsys -u启动该服务:C:\>net start evtsys打开windows组策略编辑器(开始->运行输入gpedit.msc)在windows设置－> 安全设置－> 本地策略－>审核策略中，打开你需要记录的windows日志。

我们需要测试一种集中日志系统，要在Windows上建立一个类Linux下的集中日志系统。

经过比较Winsyslog和Kiwisyslog等工具，最终选定Kiwisyslog(/)，它不仅功能齐全，而且提供免费的版本。

Kiwisyslog遵循标准的日志协议(RFC 3164)，并支持UDP/TCP/SNMP几种方式的日志输入。

它默认是个免费的功能受限版（但功能基本够用了，只是没有找到汉化），自带发送模拟器﹑日志浏览器等实用工具。

我还测试了一下把ACE日志写到syslog的功能。

过程记录如下：1）使用klog工具这个主要用到kiwisyslog的klog实用工具(这个工具同时提供dll库的调用方式,真是好东西，我决定以后在我的应用里都用它！)，它支持直接或用重定向的方法输出日志到kiwisyslog。

klog –m "It's almost lunchtime"DIR *.* | klog -h 192.168.1.2 -i但我试图使用ACE应用日志输出到kiwisyslog时（ace_app.exe | klog -h 192.168.1.2 -i的形式），发现日志内容里前后有乱码出现，即ACE的日志输出直接重定向到klog再转到kiwisyslog有问题；并且不能按时间一行一行的输出，而是等应用程序执行结束时一股脑输出到kiwisyslog（按回车换行切开成一条一条日志）。

如果程序非正常结束，还不能将输出日志内容传到kiwisyslog。

还有一个方法是在Windows通过设置可以把ACE日志输出到系统日志里面。

ACE_LOG_MSG->set_flags(ACE_Log_Msg::SYSLOG);然后按下面2）的方法转到kiwisyslog。

2）还可以把Windows下的事件日志转到Linux下的syslog我们需要第三方的软件来将windows的日志转换成syslog类型的日志后，转发给syslog服务器。

syslog日志服务器配置步骤一．作用Linux 系统的日志主要分为两种类型 :1. 进程所属日志：由用户进程或其他系统服务进程自行生成的日志，比如服务器上的access_log 与 error_log 日志文件。

2. syslog 消息：系统syslog 记录的日志，任何希望记录日志的系统进程或者用户进程都可以给调用syslog来记录日志。

Syslog程序就是用来记录这类日志的。

syslog是Linux的日志子系统，日志文件详细地记录了系统每天发生的各种各样的事件。

用户可以通过日志文件检查错误产生的原因，或者在受到攻击和黑客入侵时追踪攻击者的踪迹。

日志的两个比较重要的作用是：审核和监测。

配置syslog中央服务器能够使所有服务器的系统信息都集中到某台特定的机器上，便于对集群中机器的管理与检查Linux系统所有的日志文件都在/var/log下，且必须有 root 权限才能察看。

日志文件其实是纯文本的文件，每一行表示一个消息,而且都由四个域的固定格式组成:1. 时间标签 (timestamp )，表示消息发出的日期和时间。

2. 主机名( hostname )，表示生成消息的计算机的名字。

如果只有一台计算机，主机名就可能没有必要了。

但是如果在网络环境中使用 syslog，那么就可能要把不同主机的消息发送到一台服务器上集中处理。

3. 生成消息的子系统的名字。

可以是”kernel”，表示消息来自内核；或者是进程的名字，表示发出消息的程序的名字。

在方括号里的是进程的PID。

4. 消息( message )，剩下的部分就是消息的内容。

二．syslog配置文件syslog是Linux系统默认的日志守护进程。

默认的syslog配置文件是/etc/syslog.conf文件。

syslog守护进程是可配置的，它允许人们为每一种类型的系统信息精确地指定一个存放地点。

现在，我们先看看syslog.conf文件的配置行格式（这个文件里的每一个配置行都是同样的格式），然后再看一个完整的syslog配置文件。