syslog 配置

配置防火墙的Syslog存储到Linux Syslog服务器防火墙日志作为重要的安全审计、安全分析资料，需要保存一段时间，而防火墙本身保存日志的容量有限，可以把防火墙记录的日志存储到用Linux平台做的日志服务器,以Netscreen为例介绍怎样配置Syslog.配置Netscreen的Syslog存储到Linux Syslog服务器将ISG 防火墙(X.X.X.X)的Syslog信息存储到Syslog服务器上(Y.Y.Y.Y)，便于跟踪防火墙状态和日志检查。

一、配置Syslogd更改/etc/syslog.conf配置文件，增加以下部分：# Save Debug Message of Netscreen(Y.Y.Y.Y) to netscreen.logLocal7.* /home/log/netscreen.log将local7设备的信息存储在指定的/home/log/netscreen.log里面，通过这条配置可以将不同设备的log信息存储在不同的文件中，便于查看。

二、配置logrotateLinux中的logrotate程序用于对日志文件的轮询，可以通过限定文件的大小、时间等配置，保存多个日志文件。

更改/etc/logratate.conf文件，增加以下部分：/home/log/netscreen.log {monthlyrotate 12}将syslog中存储的文件/home/log/netscreen.log，按每月的方式保存，共保存12个文件，也就是第一个月保存为netscreen.log，到了下个月将把这个月的文件名换成为netscreen.log.1，依此类推。

三、重新启动syslogdservice syslog restart四、Netscreen 配置：>查看log的等级get event level可以看到当前的netscreen 事件等级，如：alert level 1: immediate action is requiredcritical level 2: functionality is affecteddebug level 7: detailed information for troubleshootingemergency level 0: system is unusableerror level 3: error conditioninformation level 6: general information about operationnotification level 5: normal eventswarning level 4: functionality may be affected选择你需要等级即可，这里我们选择Debug信息。

1 UNIX主机1.1 Solaris通过Unix系统的Syslog服务转发系统日志到采集服务器，具体配置方法如下：1．提供Unix系统的IP地址2．提供Unix系统的主机名称3．在Unix系统/etc/syslog.conf文件最后追加以下2行*.err &nbs p; @IP @IP@IP为采集机地址4．用下面的命令重启syslog服务Ø 对于Solaris8,9/etc/init.d/syslog stop/etc/init.d/syslog startØ 对于Solaris10Svcadm restart system-log1.2 HP-UX通过Unix系统的Syslog服务转发系统日志到采集服务器，具体配置方法如下：1．提供Unix系统的IP地址2．提供Unix系统的主机名称3．在Unix系统/etc/syslog.conf文件最后追加以下2行*.err @IP @IP@IP为采集机地址下面的命令停止syslog服务ps –ef|grep syslogdkill PID5．下面的命令启动syslog服务/usr/sbin/syslogd -D1.3 AIX通过Unix系统的Syslog服务转发系统日志到采集服务器，具体配置方法如下：1．提供Unix系统的IP地址2．提供Unix系统的主机名称3．在Unix系统/etc/syslog.conf文件最后追加以下2行*.err @IP (中间以Tab健分割) @IP (中间以Tab健分割)注：@IP为采集机地址5．用下面的命令停止syslog服务stopsrc -s syslogd6．用下面的命令启动syslog服务startsrc -s syslogd2 Windows主机由于Windows系统自身不具备日志转发功能，所以对Windows事件采集，需要在被管设备中安装一个Agent采集程序，完成对windows系统事件的采集。

Syslog 简介Syslog是一个通过IP网络允许一台机器发送事件通知信息给事件收集者（Syslog服务器或者Syslog Daemon）的协议。

换言之，就是一台机器或者设备能够被配置，使之产生Syslog 信息并且发送到一台特定的Syslog服务器/Daemon。

Syslog信息建立在UDP之上，一般Syslog信息在UDP514端口上被收集，Syslog信息的长度不大于1024字节。

由于基于UDP协议，所以当如果因为网络拥塞等情况导致信息包丢失，那么信息将不再重发，而是简单的丢失掉。

Syslog协议是在Unix系统上被创建出来的。

使用Syslog，一个远程Unix主机能够很好的跟踪另一台Unix主机。

任何应用程序都能够产生Syslog信息。

格式Syslog包的格式:一个Syslog信息主要有三部分组成。

分别是PRI，HEADER，MSG。

日志信息格式如下：<优先级>时间戳主机名模块名/级别/信息摘要:内容<priority>timestamp sysname module/level/digest:content以上格式中的尖括号（< >）、空格、斜杠（/）、冒号（:）是有效的、必须的。

输出到日志主机的日志格式的例子如下：<189>Jun 7 05:22:03 2003 Quidway IFNET/6/UPDOWN:Line protocol on interface Ethernet0/0/0, changed state to UP以下对每一个字段做详细说明。

1.优先级是优先级的意思，它由两部分组成，共一个字节，前3位是严重度（Severity），后5位是表示Facility。

优先级的计算按如下公式：facility*8+severity-1。

a) 严重度b) Facility2。

Header包括两部分：1>时间戳，它是指信息生成的日期和时间。

配置说明syslog-ng的主配置文件存放在：/etc/syslog-ng/syslog-ng.conf(可变动)1、架构syslog-ng的配置基于下面的架构：引用LOG STATEMENTS『SOURCES －FILTERS －DESTINATIONS』消息路径『消息源－过滤器－目的站』也就是说，通过定义多个消息源，把匹配上若干个过滤器的消息导向到指定的目的地，从而组成一个消息路径。

2、消息源SOURCES定义格式为：引用source <sourcename> { sourcedriverparams; sourcedriverparams; ... };含义：引用<sourcename>：一个消息源的标识sourcedriver：消息源驱动器，可以支持若干参数，并使用分号“；”隔离多个消息源驱动器消息源驱动器有：引用file (filename) ：从指定的文件读取日志信息unix-dgram (filename) ：打开指定的SOCK_DGRAM模式的unix套接字，接收日志消息unix-stream (filename) ：打开指定的SOCK_STREAM模式的unix套接字，接收日志消息udp ( (ip),(port) ) ：在指定的UDP端口接收日志消息tcp ( (ip),(port) ) ：在指定的TCP端口接收日志消息sun-streams (filename) ：在solaris系统中，打开一个（多个）指定的STREAM设备，从其中读取日志消息internal() ：syslog-ng内部产生的消息pipe(filename),fifo(filename) ：从指定的管道或者FIFO设备，读取日志信息例如：引用source s_sys {file ("/proc/kmsg" log_prefix("kernel: "));unix-stream ("/dev/log");internal();# udp(ip(0.0.0.0) port(514)); #如果取消注释，则可以从udp的514端口获取消息※linux使用/dev/log作为SOCK_STREAM unix的套接字，BSD使用/var/run/log；参数需要使用括号括住。

Solaris配置syslog服务方法在/etc/syslog.conf文件中加入一行。

*.emerg;*.alert;*.crit;*.err;*.warning;*.notice;*.info;*.debug @10.212.41.75其中@loghost在hosts文件中定义，vi /etc/hosts。

在其中加入一行：10.212.41.86 loghost 重起syslog服务：/etc/init.d/syslog stop/etc/init.d/syslog startsvcadm restart system/system-log solaris10svcadm restart svc:/system/system-log:default使syslog记录tcp等网络服务日志。

修改/etc/init.d/inetsvc。

找到inetd那行改为：/usr/sbin/inetd -s -t &重启inetd：/etc/init.d/inetsvc stop/etc/init.d/inetsvc startHP UNIX配置syslog服务方法打开inetd日志功能在/etc/rc.config.d/netdaemons中的INETD_ARGS 环境变量中增加－l参数:export INETD_ARGS=-l修改syslog配置文件syslog.conf，加入*.emerg;*.alert;*.crit;*.err;*.warning;*.notice;*.info;*.debug @loghost在hosts文件中加入10.212.41.86 loghost重启syslog服务：/sbin/init.d/syslogd stop/sbin/init.d/syslogd startIBM AIX配置syslog服务方法修改syslog配置文件/etc/syslog.conf，加入*.emerg;*.alert;*.crit;*.err;*.warning;*.notice;*.info;*.debug @loghost在hosts文件中加入10.212.41.86 loghost重启syslog服务：stopsrc -s syslogdstartsrc –s syslogdSUSE10配置syslog服务vim /etc/syslog-ng/syslog-ng.conf#定义日志类型：filter f_login { level(info) and facility(auth); };filter f_boco { level(warn, err, crit, alert, emerg) and not filter(f_iptables); };#配置日志转发：destination allmessages {udp("10.212.41.87" port(514)); };log { source(src); filter(f_boco); destination(allmessages); };log { source(src); filter(f_login); destination(allmessages); };重启日志服务：/etc/init.d/syslog restartLinux Syslog日志配置在/etc/syslog.conf文件中加入一行。

数据网主流设备配置指南各厂商syslog配置的事件级别以及local设置见下表：厂商event级别local设置Juniper info 1cisco warning 2华为warning 3港湾warning 5一CISCO设备1.1设置IOS设备（路由器）在IOS的Enable状态下，敲入config terminal 进入全局配置状态Cdp run 启用CDP(Cisco Disco very Protocol)snmp-server community XXXXXX ro 配置本路由器的只读字串为XXXXXXsnmp-server community XXXXXX rw 配置本路由器的读写字串为XXXXXX(本项目不需配置) logging on 起动log机制logging IP-address-server将log记录发送到本地采集器地址上logging facility local2 将记录事件类型定义为local2(各厂商syslog对应的local见上表所示) logging trap warning 将发送的记录事件定义为warning以上.logging source-interface loopback0 指定记录事件的发送源地址为loopback0的IP地址(如果没有设置loopback地址，则请将该IP地址指向提供给综合网管的管理地址)service timestamps log datetime 发送记录事件的时候包含时间标记保存配置,完成cisco下IOS操作系统设备的syslog和snmp配置。

1.2设置CatOS设备（交换机）在CatOS的Enable状态下，敲入set interface sc0 VLAN ID IP address 配置交换机本地管理接口所在VLAN ID，IP地址，子网掩码Set cdp enable all 启用CDPset snmp community read-only XXXXXX 配置本交换机的只读字串为XXXXXXset snmp community read-write-all XXXXXX 配置本交换机的读写字串为XXXXXXset logging enable 起动log机制set logging server IP-address-server将log记录发送到本地采集器地址上set logging level 4将发送的记录事件定义为warning以上.set logging server facility local2将记录事件类型定义为local2(各厂商syslog对应的local见上表所示)set logging timestamp 发送记录事件的时候包含时间标记保存配置,完成cisco下CatOS操作系统设备的syslog和snmp配置。

数据网主流设备配置指南各厂商syslog配置的事件级别以及local设置见下表：厂商event级别local设置Juniper info 1cisco warning 2华为warning 3港湾warning 5一CISCO设备1.1设置IOS设备（路由器）在IOS的Enable状态下，敲入config terminal 进入全局配置状态Cdp run 启用CDP(Cisco Disco very Protocol)snmp-server community XXXXXX ro 配置本路由器的只读字串为XXXXXXsnmp-server community XXXXXX rw 配置本路由器的读写字串为XXXXXX(本项目不需配置) logging on 起动log机制logging IP-address-server将log记录发送到本地采集器地址上logging facility local2 将记录事件类型定义为local2(各厂商syslog对应的local见上表所示) logging trap warning 将发送的记录事件定义为warning以上.logging source-interface loopback0 指定记录事件的发送源地址为loopback0的IP地址(如果没有设置loopback地址，则请将该IP地址指向提供给综合网管的管理地址)service timestamps log datetime 发送记录事件的时候包含时间标记保存配置,完成cisco下IOS操作系统设备的syslog和snmp配置。

1.2设置CatOS设备（交换机）在CatOS的Enable状态下，敲入set interface sc0 VLAN ID IP address 配置交换机本地管理接口所在VLAN ID，IP地址，子网掩码Set cdp enable all 启用CDPset snmp community read-only XXXXXX 配置本交换机的只读字串为XXXXXXset snmp community read-write-all XXXXXX 配置本交换机的读写字串为XXXXXXset logging enable 起动log机制set logging server IP-address-server将log记录发送到本地采集器地址上set logging level 4将发送的记录事件定义为warning以上.set logging server facility local2将记录事件类型定义为local2(各厂商syslog对应的local见上表所示)set logging timestamp 发送记录事件的时候包含时间标记保存配置,完成cisco下CatOS操作系统设备的syslog和snmp配置。