日誌管理

   作業系統的日誌主要具有審計與檢測的功能，有效利用日誌資訊並對其進行分析與實時的監控管理，對於系統的安全性具有極為重要的作用，日誌檔案所處的位置都在/var/log目錄下

日誌管理相關檔案

• /etc/rsyslog.conf
  rsyslog服務的主配置檔案，設定日誌儲存檔案位置，等級資訊，日誌同步資訊等

   authpriv.*                                                             /var/log/secure
   #服務名稱[連線符號]日誌等級                                                  日誌記錄位置
   *.info;mail.none;authpriv.none;cron.none                               /var/log/messages
   cron.*                                                                 /var/log/cron
   
  

  
  
  
  修改完配置檔案後，記得 systemctl restart rsyslogd 重啟生效，利用tail -f 日誌檔案 檢視檔案的後10行，並實時更新.

• 日誌分析
  

• 遠端日誌同步
  實驗：linux系統日誌集中儲存，將server主機的系統日誌儲存到desktop主機（接收方）
  desktop主機：192.168.239.129/24
  server主機：192.168.239.128/24           ## 關閉兩臺主機防火牆
  desktop（接收方）：
  1 修改/etc/rsyslog.conf檔案

  # Provides UDP syslog reception
  $ModLoad imudp.so                                              ## 去掉這兩行註釋
  $UDPServerRun 514                                           ## 採用UDP方式傳輸
   
  

  2 systemctl restart rsyslog       ##  重啟日誌服務

  server（傳送方）：
  1 修改/etc/rsyslog.conf檔案，新增如下資訊

  *.info;mail.none;authpriv.none;cron.none                     @192.168.239.140
  cron.*                                                       @192.168.239.140
  

  "@“表示採用UDP方式，”@@"表示採用TCP方式
  2 systemctl restart rsyslog       ##  重啟日誌服務
  驗證

  ：
  

  我在server虛擬機器重啟rsyslog，關閉firewalld的操作在desktop上就能看到同步的日誌了