当前位置:首页 > 行业动态 > 正文

如何搭建CentOS日志服务器?

在 centos 上搭建日志服务器,需要安装 rsyslog 或 logrotate 等日志管理工具,配置日志收集、存储和分析。

CentOS搭建日志服务器

如何搭建CentOS日志服务器?  第1张

一、前言

在现代IT环境中,日志管理是系统和网络管理的重要组成部分,日志记录了系统运行过程中发生的各种事件,通过分析这些日志,可以有效地监控系统状态、排查故障、进行安全审计等,本文将详细介绍如何在CentOS上搭建一个高效的日志服务器,以便集中管理和分析日志数据。

二、日志的简介及作用

日志对于系统和网络安全至关重要,它记录了每天系统中发生的所有事情,以下是日志的几个主要功能:

1、审计和监测:记录所有系统活动,包括登录、命令执行等。

2、安全监控:检测潜在的安全威胁,如未授权访问和系统破绽利用。

3、故障排查:提供详细的错误报告和警告信息,帮助管理员快速定位和解决问题。

4、合规要求:满足法规和企业政策对日志记录和保留的要求。

三、了解日志

1. 日志文件分类

在Linux系统中,日志文件通常存储在/var/log目录下,常见的日志文件包括:

系统日志:记录系统启动、内核消息等,例如/var/log/messages或/var/log/syslog。

登录日志:记录用户登录信息,例如/var/log/secure或/var/log/auth.log。

程序日志:记录特定服务或应用程序的活动,例如/var/log/httpd(Apache)或/var/log/mysql(MySQL)。

2. 日志管理服务

日志管理主要由rsyslog服务负责,配置文件为/etc/rsyslog.conf。rsyslog支持灵活的配置,可以将日志发送到本地文件、远程服务器或通过邮件发送。

3. 日志记录的日志级别

日志级别用于定义日志消息的重要性,常见的日志级别包括:

debug:调试信息,详细程度最高。

info:普通信息,系统正常运行时的消息。

notice:需要注意的信息,不如警告严重。

warning:警告信息,可能表示某种异常情况。

err:错误信息,表示系统遇到了问题。

crit:严重错误,可能导致系统崩溃。

alert:紧急情况,需要立即采取措施。

emerg:紧急情况,系统无法继续运行。

4. 日志的异地备份

为了防止日志丢失或被改动,通常会将日志备份到异地服务器,这可以通过rsyslog的远程日志接收功能实现,将日志发送到另一台日志服务器。

四、实验环境及设备

为了搭建和测试日志服务器,我们需要准备以下环境和设备:

实验环境:使用VMware或其他虚拟化平台创建虚拟机。

设备

一台Windows 10客户端(用户端)

两台CentOS 7 x64服务器(中间设备和源服务器)

五、实验拓扑图

Windows 10 (Client)
       
        
         
          --CentOS 7 (Log Server)

六、配置网络环境

1. 配置中间设备【CentOS 7】对应网卡ens33

编辑网卡配置文件vim /etc/sysconfig/network-scripts/ifcfg-ens33,设置静态IP地址:

TYPE="Ethernet"
BOOTPROTO="static"
NAME="ens33"
DEVICE="ens33"
ONBOOT="yes"
IPADDR="192.168.1.254"
NETMASK="255.255.255.0"
GATEWAY="192.168.1.1"
DNS1="8.8.8.8"

重启网络服务使配置生效:

systemctl restart network

2. 配置PC(Windows 10)的IP地址和网关

打开控制面板 -> 网络和Internet -> 网络和共享中心 -> 本地连接 -> 属性 -> IPv4协议版本 -> 属性,设置IP地址和网关:

IP地址:192.168.1.100

子网掩码:255.255.255.0

默认网关:192.168.1.254

3. 配置中间设备的另一块网卡ens36

编辑网卡配置文件vim /etc/sysconfig/network-scripts/ifcfg-ens36,设置静态IP地址:

TYPE="Ethernet"
BOOTPROTO="static"
NAME="ens36"
DEVICE="ens36"
ONBOOT="yes"
IPADDR="172.16.1.254"
NETMASK="255.255.255.0"

重启网络服务使配置生效:

systemctl restart network

4. 配置服务器(CentOS 7)并检查是否能ping通网关

编辑网卡配置文件vim /etc/sysconfig/network-scripts/ifcfg-ens33,设置静态IP地址:

TYPE="Ethernet"
BOOTPROTO="static"
NAME="ens33"
DEVICE="ens33"
ONBOOT="yes"
IPADDR="172.16.1.1"
NETMASK="255.255.255.0"
GATEWAY="172.16.1.254"
DNS1="8.8.8.8"

重启网络服务使配置生效:

systemctl restart network

5. 开启中间设备的路由功能并检查连通性

编辑/etc/sysctl.conf文件,确保以下行没有被注释:

net.ipv4.ip_forward = 1

使更改生效:

sysctl -p

检查PC和服务器之间的连通性,确保能够相互ping通,如果无法ping通,请检查防火墙设置,必要时关闭防火墙:

systemctl stop firewalld
systemctl disable firewalld

七、搭建日志服务器

1. 安装rsyslog软件包

确保系统已经安装了rsyslog:

yum install rsyslog -y

2. 配置rsyslog服务器

编辑/etc/rsyslog.conf文件,添加以下内容以启用TCP和UDP接收:

$ModLoad imtcp
$InputTCPServerRun 514
$ModLoad imudp
$InputUDPServerRun 514

3. 创建日志目录并设置权限

在/var/log目录下创建一个新的目录来存储远程日志:

mkdir -p /var/log/remote/{hostname}
chmod 755 /var/log/remote/{hostname}

4. 配置日志模板和规则

在/etc/rsyslog.conf文件中添加以下内容,以定义日志格式和保存路径:

使用RemoteLogs模板接受客户端的日志,保存到本地的/var/log/remote目录下,然后是每台客户端的ip_年份_月份_日期的log
$template RemoteLogs,"/var/log/remote/%fromhost-ip%/%fromhost-ip%_%$YEAR%-%$MONTH%-%$DAY%.log"
*.* ?RemoteLogs; #所有服务所有级别的日志都记录
& ~ #指示rsyslog在将消息写入文件后停止处理消息,如果不包含"& ~",则消息将被写入两次。

5. 重启rsyslog服务并验证配置

重启rsyslog服务以应用配置更改:

systemctl restart rsyslog

检查端口是否开放:

netstat -antup | grep 514

八、配置日志客户端并发送日志到服务器

1. 安装rsyslog客户端软件包(如果尚未安装)

yum install rsyslog -y

2. 配置客户端发送日志到服务器

编辑/etc/rsyslog.conf文件,添加以下内容以指定日志服务器地址和端口:

*.* @@172.16.1.254:514 #使用TCP协议发送所有级别的日志到日志服务器的514端口

3. 重启客户端rsyslog服务以应用更改

systemctl restart rsyslog

4. 验证配置是否生效

在客户端执行以下命令生成一些日志条目:

logger "Test log message from client"

在日志服务器上查看接收到的日志:

tail -f /var/log/remote/{client_ip}/{client_ip}_YYYY-MM-DD.log

九、常见问题及解答(FAQs)

Q1: 如果客户端无法连接到日志服务器怎么办?

检查以下几点:

确保日志服务器的IP地址和端口号正确。

确保客户端和服务器之间的网络连接正常,没有防火墙阻止流量。

确保日志服务器上的rsyslog服务正在运行并监听正确的端口。

Q2: 如何更改日志的保留策略?

可以使用logrotate工具来管理日志文件的轮转、压缩、删除等操作,编辑/etc/logrotate.d/rsyslog文件,根据需要调整配置,设置日志文件的最大尺寸为50MB,保留最近7天的日志:

/var/log/messages {
    size 50M
    rotate 7
    compress
    delaycompress
    missingok
    notifempty
    create 640 root adm
    sharedscripts
    postrotate
        /usr/lib/rsyslog/rsyslog-rotate
    endscript
}
0