LinuxLog Service器配置

配置Log Service器
環境：
tibet：10.11.3.57
gaplinux（Log Service器）：10.11.3.3
修改tibet上的/etc/hosts，增加如下代碼：
10.11.3.3       gaplinux.ufrdomain      gaplinux

tibet服務配置如下：
1. 配置tibet的syslog.conf
修改tibet伺服器的syslog的設定檔/etc/syslog.conf, 告訴syslogd進程
傳輸本系統的日誌資訊到Log Service器上.

[root@tibet /]# vi /etc/syslog.conf

添加下面的代碼到syslog.conf中:
*.*    @gaplinux.ufrdomain

2. 在tibet伺服器上重啟syslogd

[root@tibet /]# /etc/rc.d/init.d/syslog restart

3. 配置tibet機器的防火牆

添加允許從tibet的514連接埠傳輸udp封包到Log Service器的防火牆策略.

連接埠514用於syslog程式.
查看程式運行情況
[root@tibet /]# cat /etc/services|grep 514/udp
syslog 514/udp

[root@tibet /]# /usr/sbin/lsof -i:514
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
syslogd 18014 root 10u IPv4 131882 UDP *:syslog

gaplinuxLog Service器配置如下：

1、啟動syslogd服務
現在已經設定了允許tibet伺服器發送日誌資訊到Log Service器gaolinux. 接下來設定Log Service器能從tibet伺服器接受記錄檔資訊.
停止syslog服務
[root@gaplinux /]# /etc/rc.d/init.d/syslog stop

現在syslog進程已經終止, 我們需要重新啟動syslog並啟動
syslog的"遠程接受(remote reception)"功能.

[root@gaplinux /]# /sbin/syslogd -rm 0
[root@gaplinux /]# /etc/rc.d/init.d/syslog start

2. 確認Log Service器的syslog進程正確配置
檢查/var/log/messages記錄檔確認syslogd已重啟
[root@gaplinux /]# tail -f /var/log/messages

在檔案的最下面你能看見:
Dec  6 18:00:31 gaplinux syslogd 1.4.1: restart (remote reception).

這樣syslogd已經工作了.

3. 防火牆配置

在gaplinuxLog Service器上添加防火牆策略, 允許來自tibet伺服器514連接埠的
udp資料轉送到gaplinux上.

[root@gaplinux]# /sbin/iptables -A INPUT -p udp -i eth0 -s 10.11.3.57 -d 10.11.3.3 --sport 514 -j ACCEPT

[root@gaplinux]# /sbin/iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT udp -- 10.11.3.57 10.11.3.3 udp spt:syslog
.....

測試

從tibet上登入退出，然後檢查gaplinux上的記錄檔/var/log/messages或者/var/log/secure)
, 可以看到下面的記錄:
Dec  6 18:06:22 10.11.3.57  -- gap[8208]: LOGIN ON pts/0 BY gap FROM 10.11.3.28

測試完畢.