设置 Syslog 日志服务器用来获取交换机日志

设置 Syslog 日志服务器用来获取交换机日志（Syslog 日志服务器用来获取交换机日志CISCO和H3C交换机的设置）

注:配置日志服务器前先检查是否已安装了SYSLOG服务

执行 ps -e |grep syslogd 查看进程是否存在

没有安装 # apt-get install syslogd 安装,或下载用安装包

H3C交换机的设置举例

1. 组网需求

将系统的日志信息发送到 linux 日志主机；

日志主机的IP 地址为 1.2.0.1/16；

信息级别高于等于 informational 的日志信息将会发送到日志主机上；

日志信息的输出语言为英文，允许输出信息的模块为ARP 和 CMD。

2. 组网图

3. 配置步骤

(1) 设备上的配置。

# 开启信息中心。

system-view

[Sysname] info-center enable

# 指定向日志主机输出日志信息的通道为 loghost 通道。

[Sysname] info-center loghost 1.2.0.1 channel loghost

# 关闭所有模块日志主机的 log、trap、debug 的状态。

[Sysname] info-center source default channel loghost debug state off log state off trap state off

注意：

由于系统对各通道允许输出的系统信息的缺省情况不一样，所以配置前必须将所有模块的需求通道（本例为loghost ）上log、trap、debug 状态设为关闭，再根据当前的需求配置输出相应的系统信息。可以用display channel 命令查看通道的状态。

# 将 IP 地址为 1.2.0.1/16 的主机作为日志主机，设置信息级别为informational，输出语言为英文，允许输出信息的模块为所有模块。

[Sysname] info-center loghost 1.2.0.1 facility local7 language english [Sysname] info-center source default channel loghost log level informational 2) 日志主机上的配置。

第一步：以超级用户（root）的身份执行以下命令。

# mkdir /var/log/H3C

# touch /var/log/H3C/information

第二步：以超级用户（root）的身份编辑文件/etc/syslog.conf，加入以下选择/动作

组合（selector/action pairs）。

# H3C configuration messages

https://www.sodocs.net/doc/5d15995367.html, /var/log/H3C/information

说明：

在编辑/etc/syslog.conf 时应注意以下问题：

注释只允许独立成行，并以字符#开头。

选择/动作组合之间必须以一个制表符（键）分隔，而不能输入空格

（键）。

在文件名之后不得有多余的空格。

/etc/syslog.conf 中指定的设备名及接受的日志信息级别与设备上配置的 info-center loghost 和info-center source 命令的相应参数要保持一致，否则

日志信息可能无法正确输出到日志主机上。

第三步：当日志文件 information 建立且/etc/syslog.conf 文件被修改了之后，应通过执行以下命令查看系统守护进程syslogd 的进程号，中止syslogd 进程，并重新用-r

选项在后台启动syslogd。

# ps -ae | grep syslogd

147

# kill -9 147

# syslogd -r &

说明：

对Linux 日志主机，必须保证syslogd 进程是以-r 选项启动。

进行以上操作之后，系统就可以在相应的文件中记录日志信息了。

CISCO交换机的设置举例

(1) 以下配置描述了如何将Cisco设备的日志发往syslog服务器

cisco#conf t

cisco(config)#logging on

cisco(config)#logging a.b.c.d //日志服务器的IP地址

cisco(config)#logging facility local1 //facility标识, RFC3164 规定的本地设备标识为 local0 - local7

cisco(config)#logging trap errors //日志记录级别，可用"?"查看详细内容

可选的级别有0－7共八个级别，0最高，7最低。这八个级别分别为：

alerts Immediate action needed (severity=1)

critical Critical conditions (severity=2)

debugging Debugging messages (severity=7)

emergencies System is unusable (severity=0)

errors Error conditions (severity=3)

informational Informational messages (severity=6)

notifications Normal but significant conditions (severity=5)

warnings Warning conditions (severity=4)

(config)#logging on 启用日志服务。

选取最低的debugging级别可以记录所有可以记录的信息，包括系统信息、错误信息、debug 信息等等。但是仍然不能满足我们的全部需求。

cisco(config)#logging source-interface e0 //日志发出用的源IP地址

cisco(config)#service timestam log datetime localtime

日志记录的时间戳设置，可根据需要具体配置

检验

cisco#sh logging

(2) 以下配置为日志服务器的配置

创建日志文件

#mkdir /var/log/switch

#vim /var/log/switch/ciscoswitch.log

在/etc/syslog.conf增加日志描述

#vim /etc/syslog.conf

local1.* /var/log/switch/ciscoswitch.log

使用SYSLOGD -r 参数使日志服务器接收远程日志

# vim /etc/default/syslogd

SYSLOGD="" 修改为： SYSLOGD="-r"

最后重启服务完成配置

/etc/init.d/sysklogd restart

syslog日志服务器配置步骤

syslog 日志服务器配置步骤 一．作用 Linux 系统的日志主要分为两种类型 1. 进程所属日志： 由用户进程或其他系统服务进程自行生成的日志，比如服务器上的 access_log 与 error_log 日志文件。 2. syslog 消息： 系统 syslog 记录的日志，任何希望记录日志的系统进程或者用户进程 都可以给调用 syslog 来记录日志。 Syslog 程序就是用来记录这类日志的。 syslog 是 Linux 的日志子系统，日志文件详细地记录了系统每天发生的各种各样的事件。 用户可以通 过日志文件检查错误产生的原因， 或者在受到攻击和黑客入侵时追踪攻击者的踪 迹。日志的两个比较重要的作用是：审核和监测。 配置 syslog 中央服务器能够使所有服务器的系统信息都集中到某台特定的机器上，便于对 集群中机器的管理与检查 Linux 系统所有的日志文件都在 /var/log 下，且必须有 root 权限才能察看。 日志文件其实 是纯文本 的文件，每一行表示一个消息 , 而且都由四个域的固定格式组成 : 1. 时间标签 (timestamp ) ，表示消息发出的日期和时间。 2. 主机名 ( hostname ) ，表示生成消息的计算 可 能没有必要了。但是如果在网络环境中使用 送到一台服务器上集中处理。 3. 生成消息的子系统的名字。 可以是” kernel 表示发出消息的程序的名字。在方括号里的是进程的 4. 消息 ( message ) ，剩下的部分就是消息的内容。 syslog 配置文件 syslog 是 Linux 系统默认的日志守护进程。默认的 syslog 配置文件是 /etc/syslog.conf 文 件。syslog 守护进程是可配置的，它允许人们为每一种类型的系统信息精确地指定一个存放 地点。现在， 我们先看看 syslog.conf 文件的配置行格式(这个文件里的每一个配置行都是 同样的格式)，然后再看一个完整的 syslog 配置文件。 syslog 配置行的格式如下所示： mail.*/var/log/mail 这一行由两个部分组成。第一个部分是一个或多个 设备后面跟一些空格字符， 然后是一个“操作动作” 1 设备 设备本身分为两个字段，之间用一个小数 点( 段是一个优先级。 设备其实是对消息类型的一种分类， 发送到不同的地方。在同一个 的 syslog 配置文件示例里看到同时有多个设备的配置行。 下面列出了绝大多数 Linux 操作系 统变体都可以识别的设备。 auth －由 pam_pwdb 报告的认证活动。 authpriv －包括特权信息如用户名在内的认证活动 机的名字。如果只有一台计算机，主机名就 syslog ，那么就可能要把不同主机的消息发 ”， 表示消息来自内核； 或者是进程的名字， PID 。 设备” ；上例中的设备是“ mail ”。 ；上例中的操作动作是： /var/log/mail .)分隔。前一字段是一项服务，后一字 这种分类便于人们把不 同类型的消息 syslog 配置行上允许出现一个以上的设备，但必须用分号( ;) 把它们分隔开。上面给出的例子里只有一个设备“ mail ”。大家可以在后面给出的那个完整

H3C_syslog配置

netscreen syslog配置 netscreen的flash memory只保存4096条日志，但在网络访问量大的时候根本没用，最多一两天就被后面 的日志给冲掉，而且当防火墙重新启动不能保存日志。 web操作步骤： 1 用admin用户登陆web界面 2 选择Configuration->;Report Settings->;Syslog 3 点击'Enable Syslog' 4 假如你要把所有的传输日志全部记录，最好还要选择'Include Traffic Log' 5 输入日志服务器的地址和端口（udp端口514） 这个是一个叫Kevin Branch的友好提示： 所有的Netscreen policies (permit/deny/tunnel)最好全部有log的默认选项，这样可以全部如实录并传 送到日志服务（假如netscreen设置允许会话没有被指定拒绝） “Log Pa ckets Terminated to Self" 选项与访问netscreen的会话无关，但最好还是记录所有的会话给 netscreen自己保存，否则哪怕仅仅是管理防火墙，也会显示来自Internet的 消息。 命令行操作步骤： 1 set syslog configip_addresssecurity_facility 2 local_facility 3 set syslog enable 4 set syslog traffic 5 set log module system level level destination syslog 提示：当用set syslog config命令需要你定义一个安全facility（不知道怎 么翻译，我理解为安全级别），你 可以用set syslog命令提示选项来看 security_facility 和 local_facility。必须输入被设置的每个消息的安全层，选项如下：级别是从高到低 emergency （紧急事件） alert （警报） critical （危机） error （错误） warning （预告警） notification （通知） information （信息） =======================================================

syslog-系统日志应用

syslog 系统日志应用 1) 概述 syslog是Linux系统默认的日志守护进程。默认的syslog配置文件是/etc/syslog.conf文件。程序，守护进程和内核提供了访问系统的日志信息。因此，任何希望生成日志信息的程序都可以向 syslog 接口呼叫生成该信息。 几乎所有的网络设备都可以通过syslog协议，将日志信息以用户数据报协议(UDP)方式传送到远端服务器，远端接收日志服务器必须通过syslogd 监听UDP 端口514，并根据 syslog.conf配置文件中的配置处理本机，接收访问系统的日志信息，把指定的事件写入特定文件中，供后台数据库管理和响应之用。意味着可以让任何事件都登录到一台或多台服务器上，以备后台数据库用off-line(离线) 方法分析远端设备的事件。 通常，syslog 接受来自系统的各种功能的信息，每个信息都包括重要级。/etc/syslog.conf 文件通知 syslogd 如何根据设备和信息重要级别来报告信息。 2) etc/syslog.conf /etc/syslog.conf 文件使用下面的格式： facility.level action facility.level为选择条件本身分为两个字段，之间用一个小数点（.）分隔。action和facility.level之间使用TAB隔开。前一字段是一项服务，后一字段是一个优先级。选择条件其实是对消息类型的一种分类，这种分类便于人们把不同类型的消息发送到不同的地方。在同一个syslog配置行上允许出现一个以上的选择条件，但必须用分号（;）把它们分隔开。action字段所表示的活动具有许多灵活性，特别是，可以使用名称管道的作用是可以使 syslogd 生成后处理信息。 要素分析： facility 指定 syslog 功能，主要包括以下这些： kern 内核信息，首先通过 klogd 传递； user 用户进程； mail 邮件； daemon 后台进程； authpriv 授权信息； syslog 系统日志； lpr 打印信息； news 新闻组信息； uucp 由uucp生成的信息

Evtsys--轻松将Windows日志转换为SYSLOG

Evtsys--轻松将Windows日志转换为SYSLOG 们知道，无论是Unix、Linux、FreeBSD、Ubuntu，还是路由器、交换机，都会产生大量的日志，而这些，一般会以syslog的形式存在。调试过防火墙、入侵检测、安全审计等产品的朋友应该对SYSLOG熟悉，如果您还不了解SYSLOG，请登录百度或Google查询。 很多时候，我们需要对日志进行集中化管理，如各种操作系统、网络设备、安全设备，甚至应用系统、业务系统等，但是不知道你注意看上文了没：Windows的应用、安全、系统日志怎么办？ Windows操作系统本身是可以产生很多日志的，如每次插拔U盘、服务的重启等，都会产生日志，这些信息会记录在操作系统中，如果我们想集中管理，怎么办？Windows操作系统本身并不支持把日志发送到SYSLOG服务器去 还好，我们有Evtsys。什么是Evtsys呢？如果你想下载Evtsys，请登录https://www.sodocs.net/doc/5d15995367.html,/p/eventlog-to-syslog/ 查看并获取最新更新。值得称道的是，程序仅仅有几十KB大小！ 下载Evtsys后，将其复制到系统目录，XP下是Windows\system32目录。然后在CMD下执行： evtsys.exe -i -h 192.168.1.101 -p 514 这个是标准格式，亦可精简为： evtsys -i -h 192.168.1.101 参数说明： i是安装成Window服务； h是syslog服务器地址； p是syslog服务器的接收端口。 默认下，端口可以省略，默认是514. 启动Evtsys服务，命令是： net start evtsys 查看Windows的“服务”，发现在原本Event Log服务下面增加了一个“Eventlog to Syslog”，并且已经启动。

服务器搭建流程

windows server R2 2008 web 服务器搭建流程 标签：windows身份验证server虚拟主机超时2010-09-21 17:34 相对于windows server 2003的IIS6来说，windows server R2 2008推出的IIS7.0为管理员提供了统一的web平台，为管理员和开发人员提供了一个一致的web解决方案。并针对安全方面做了改进，可以减少利用自定义服务器以减少对服务器的攻击面。 东方瑞通这次讲述分为两个模块，我们先来安装IIS服务，并讲述新的功能和基本配置，再来讲述如何利用虚拟目录和虚拟主机来优化我们的web服务器。 通过前几篇博文的内容我们就可以想到如何安装IIS服务了，因为至少我觉得这是windows server 2008 中的一大特点，服务器管理器。我们打开服务器管理器，添加我们需要的IIS服务。 在我们选择服务后，系统会默认的帮我们选择一些常用的功能，这些功能在IIS6.0系统中都是全部安装的，但也是IIS6.0容易受到攻击的一大重要的原因，需要我们安装好IIS6.0后再去卸载掉我们不用的功能，给网络管理员增加了负担，而在IIS7.0中，系统只装了少许的功能，保证我们的web服务器能够正常的运行，大大减少了攻击面，提高了安全性。 在IIS6.0中，在安装好后并没有默认的网站，而在IIS7.0中，我们一但安装成功，系统就会自动绑我们创建首页面，再也不用看“网站建设中”了。 个人认为这个图片还是不错的，看这张图片上有很多种文字，并不是为了好看，这里微软向大家宣布，在IIS7.0中，是支持全球语言的! 我们打开管理工具中的IIS管理器，选择网站中的默认网站，选择默认文档，这个默认文档就是我们网站的内容，系统默认会帮我创建下面5条。如果我们给网站内添加新的页面，只需要在这里添加就可以了。系统默认会将网站的根目录放在C盘的inetpub下的wwwroot文件夹中。 在IIS管理器的右边有我们的操作栏，同样的操作目标对应的是左边树状的目录。网站拿的基本配置，权限和限制，包括超时都是在这里实现的。

syslog 配置

目录 目录 (1) syslog 配置 (2) 第一章类UNIX系统syslog配置 (2) 一、syslog.conf文件配置说明 (2) 二、Syslog 服务启停： (3) 三、测试产生日志 (4) 第二章Windows 平台syslog配置 (4) 一、安装配置 (4) 二、参数说明： (4) 第三章网络设备syslog配置 (4) 一、配置步骤 (4) 二、检验结果 (5)

syslog 配置 第一章类UNIX系统syslog配置 一、syslog.conf文件配置说明 /etc/syslog.con f文件中的一项配置记录由“选项”(selector)和“动作”(action)两个部分组成，两者间用tab制表符进行分隔。而“选项”又由一个或多个形如“类型.级别”格式的保留字段组合而成，各保留字段间用分号分隔。 保留字段中的“类型”代表信息产生的源头，可以是： kern 由kernel产生的信息； user 由用户进程产生的信息。对那些由程序或不在此列出的工具产生的信息，其缺省类型都是“user”; mail 邮件系统产生的信息； daemon 系统守护进程的信息，如in.ftpd、telnetd； auth 由login, su, gett y等进行身份认证时产生的信息； s yslog 由s yslogd自己内部产生的信息； lpr 行打印spooling系统的信息； news USENET 网络新闻系统的信息； uucp UUCP系统信息； cron cron和at工具信息； local0-7 保留为local使用； mark syslogd内部产生的时间戳信息； * 除mark之外的所有其它类型（此符号不可用以代表所有级别）。 保留字段中的“级别”代表信息的重要性，可以是： emerg 紧急，处于Panic状态。通常应广播到所有用户； alert 告警，当前状态必须立即进行纠正。例如，系统数据库崩溃； crit 关键状态的警告。例如，硬件故障；

设置 Syslog 日志服务器用来获取交换机日志

设置 Syslog 日志服务器用来获取交换机日志（Syslog 日志服务器用来获取交换机日志CISCO和H3C交换机的设置） 注:配置日志服务器前先检查是否已安装了SYSLOG服务 执行 ps -e |grep syslogd 查看进程是否存在 没有安装 # apt-get install syslogd 安装,或下载用安装包 H3C交换机的设置举例 1. 组网需求 将系统的日志信息发送到 linux 日志主机； 日志主机的IP 地址为 1.2.0.1/16； 信息级别高于等于 informational 的日志信息将会发送到日志主机上； 日志信息的输出语言为英文，允许输出信息的模块为ARP 和 CMD。 2. 组网图 3. 配置步骤 (1) 设备上的配置。 # 开启信息中心。 system-view [Sysname] info-center enable # 指定向日志主机输出日志信息的通道为 loghost 通道。 [Sysname] info-center loghost 1.2.0.1 channel loghost

# 关闭所有模块日志主机的 log、trap、debug 的状态。 [Sysname] info-center source default channel loghost debug state off log state off trap state off 注意： 由于系统对各通道允许输出的系统信息的缺省情况不一样，所以配置前必须将所有模块的需求通道（本例为loghost ）上log、trap、debug 状态设为关闭，再根据当前的需求配置输出相应的系统信息。可以用display channel 命令查看通道的状态。 # 将 IP 地址为 1.2.0.1/16 的主机作为日志主机，设置信息级别为informational，输出语言为英文，允许输出信息的模块为所有模块。 [Sysname] info-center loghost 1.2.0.1 facility local7 language english [Sysname] info-center source default channel loghost log level informational 2) 日志主机上的配置。 第一步：以超级用户（root）的身份执行以下命令。 # mkdir /var/log/H3C # touch /var/log/H3C/information 第二步：以超级用户（root）的身份编辑文件/etc/syslog.conf，加入以下选择/动作 组合（selector/action pairs）。 # H3C configuration messages https://www.sodocs.net/doc/5d15995367.html, /var/log/H3C/information 说明： 在编辑/etc/syslog.conf 时应注意以下问题： 注释只允许独立成行，并以字符#开头。 选择/动作组合之间必须以一个制表符（键）分隔，而不能输入空格 （键）。 在文件名之后不得有多余的空格。 /etc/syslog.conf 中指定的设备名及接受的日志信息级别与设备上配置的 info-center loghost 和info-center source 命令的相应参数要保持一致，否则 日志信息可能无法正确输出到日志主机上。

Syslog日志服务器设计

自动化专业综合设计 说明书 课题名称：Syslog日志服务器设计 学生学号： 专业班级： 学生姓名： 学生成绩： 指导教师： 课题工作时间：至 xxxx教务处制

一、课程设计的任务的基本要求： 该课程设计主要的任务是编写一种可以被记录到不同的文件，还可以通过网络实现运行syslog协议的机器之间的信息传递的叫做syslog协议的这么一个课题。Syslog已被许多日志函数采纳，它用在许多保护措施中——任何行为都可以通过syslog 记录事件。通过System Call，记录用户自行开发的应用程序的运行状况。日志系统的重点之一便是要研究及开发一些系统程序，该课题的设计过程要求先做好课题设计的大纲包括该课题应包括那些模块，要实现哪些功能，代码要用什么语言来写以及要用什么编译工具来编译运行该课题和运行的结果是什么样的，要用流程图把各个模块的连接关系一一的列出来，设计者应该有敢于创新和勇于负责的精神，从投入施工的角度来严肃对待自己的设计，使自己的设计能最大限度满足生产实际需要，既经济，又可靠。 二、课题设计框图： syslog syslog syslog 消息队列 File文件 Server函数 save 指导教师签字：教研室主任签字： 年月日年月日

二、进度安排： 第一周： (1) 指导教师讲解设计要求、规程、部分相关国家标准及有关技术规范、参考资料等事项。 (2)采用计算机辅助软件绘制工艺流程图结合设计题目熟悉代码流程。 第二周： (3)在熟悉代码流程的基础上，针对典型流程图进行代码分析。 第三周： (4) 按代码功能模块的顺序画出代码流程图。 (5) 讲画好的代码框图与小组的其他成员讨论研究其缜密性和可行性，找出该流程的弊端和矛盾之处，最终确定更好的代码顺序方案。 第四周： (6) 按照流程图编写代码，并且在编写代码的过程中要每写一个模块就要编译一次避免不必要的错误。 (7) 最后撰写详细的设计文档并让指导老师审核。 三、应收集资料及主要参考文献： [1]中软国际·LINUX系统程序设计 [2]谭浩强 C程序设计（第三版） [3]严蔚敏，吴伟民数据结构（C语言篇） [4]张宇河，董宁·计算机控制系统·北京：北京理工大学出版社，2002 [5]谢希仁计算机网络（第五版） [6]刘兵，吴煜煌 LINUX实用教程 四、课程设计摘要（中文）： Syslog是一种工业标准的协议，可用来记录设备的日志。在UNIX系统，路由器、交换机等网络设备中，系统日志（System Log）记录系统中任何时间发生的大小事件。管理者可以通过查看系统记录，随时掌握系统状况。UNIX的系统日志是通过syslogd这个进程记录系统有关事件记录，也可以记录应用程序运作事件。通过适当的配置，我们还可以实现运行syslog协议的机器间通信，通

linux+cacti+syslog-ng+snare实现日志集中管理

Linux下cacti+syslog-ng+snare实现 日志集中管理 文档版本：V1.0.0 整理者：Teasure 系统环境：CentOS5.4 更新时间：2011-02-13 说明：运维专用

目录 Linux下cacti+syslog-ng+snare (1) 1. 服务端配置 (3) 1.1.1. 下载所需rpm包 (3) 1.1.2. 服务安装 (4) 1.1.3. 服务器端配置 (4) 1.1.4. 安装syslog插件 (5) 1.1.5. 在crontab中添加： (6) 2. Linux客户端配置： (6) 2.1.1. linux服务器客户端安装及配置 (6) 2.1.2. 注意事项: (6) 3. windows服务器客户端配置 (7) 3.1.1. 安装syslog-ng代理软件 (7) 3.1.2. 配置snare (7) 3.1.3. 配置Objectives Configuration (8) 4. Troubleshooting (8) 4.1.1. 点击Syslog插件报错 (8) 5. Other thing (9) 5.1.1. 使用默认的syslog (9) 5.1.2. 完成配置后重启syslog服务 (10) 6. 防火墙配置 (10) 6.1.1. 在日志服务器上放行514端口 (10)

1.服务端配置 1.1.1.下载所需rpm包 从syslog-ng的官方网站上下载编译好的rpm包,针对rhel或CentOS的. 需要的rpm包，可以到这里进行下载使用：

文件: Syslog-NG.rar 大小: 859KB 下载: 下载 1.1. 2.服务安装 安装(服务器跟客户端安装都一样,这里指的是linux客户端,windows客户端需要另外的软件) [root@Teasure syslog]# ll -rw-r--r-- 1 root root 72601 2009-01-04 libdbi8-0.8.2bb2-3.rhel5.i386.rpm -rw-r--r-- 1 root root 650564 2009-01-04 libdbi8-dev-0.8.2bb2-3.rhel5.i386.rpm -rw-r--r-- 1 root root 9076 2009-01-04 libevtlog0-0.2.8-1.i386.rpm -rw-r--r-- 1 root root 163024 2009-01-04 syslog-ng-2.1.3-1.i386.rpm 安装libevt [root@Teasure syslog]# rpm -ivh libevtlog0-0.2.8-1.i386.rpm Preparing... ################################# [100%] 1:libevtlog0 ################################## [100%] 安装syslog-ng [root@Teasure syslog]# rpm -vih libdbi8-0.8.2bb2-3.rhel5.i386.rpm libdbi8-dev-0.8.2bb2-3.rhel5.i386.rpm syslog-ng-2.1.3-1.i386.rpm warning: libdbi8-0.8.2bb2-3.rhel5.i386.rpm: Header V3 DSA signature: NOKEY, key ID 2aa28252 Preparing... ############################### [100%] 1:libdbi8 ############################### [ 33%] 2:libdbi8-dev ############################### [ 67%] 3:syslog-ng ################################# [100%] Shutting down kernel logger: [ OK ] Shutting down system logger: [ OK ] Starting syslog-ng: [ OK ] 1.1.3.服务器端配置 [root@Teasure syslog]# cd /etc/syslog-ng [root@Teasure syslog-ng]# cp syslog-ng.conf syslog-ng.conf.bak [root@Teasure syslog-ng]# vim syslog-ng.conf 在最后末行添加如下: source net { udp(); }; destination d_mysql { pipe("/tmp/mysql.pipe"

用Syslog 记录UNIX和Windows日志的方法

用Syslog 记录UNIX和Windows日志的方法 2007-10-11 16:53 佚名 51CTO论坛字号：T | T 在比较大规模的网络应用或者对安全有一定要求的应用中，通常需要对系统的日志进行记录分类并审核，默认情况下，每个系统会在本地硬盘上记录自己的日志，这样虽然也能有日志记录，但是有很多缺点：首先是管理不便，当服务器数量比较多的时候，登陆每台服务器去管理分析日志会十分不便，其次是安全问题，一旦有入侵者登陆系统，他可以轻松的删除所有日志，系统安全分析人员不能得到任何入侵信息。 AD：WOT2014：用户标签系统与用户数据化运营培训专场 在比较大规模的网络应用或者对安全有一定要求的应用中，通常需要对系统的日志进行记录分类并审核，默认情况下，每个系统会在本地硬盘上记录自己的日志，这样虽然也能有日志记录，但是有很多缺点：首先是管理不便，当服务器数量比较多的时候，登陆每台服务器去管理分析日志会十分不便，其次是安全问题，一旦有入侵者登陆系统，他可以轻松的删除所有日志，系统安全分析人员不能得到任何入侵信息。 因此，在网络中安排一台专用的日志服务器来记录系统日志是一个比较理想的方案。本文以FreeBSD下的syslog为例，介绍如何利用freebsd的syslogd来记录来自UNIX和windows的log信息。 一、记录UNIX类主机的log信息 首先需要对Freebsd的syslog进行配置，使它允许接收来自其他服务器的log信息。 在/etc/rc.conf中加入： syslogd_flags="-4 -a 0/0:*" 说明：freebsd的syslogd参数设置放在/etc/rc.conf文件的syslogd_flags变量中 Freebsd对syslogd的默认设置参数是syslogd_flags="-s"，（可以在/etc/defaults/rc.conf中看到） 默认的参数-s表示打开UDP端口监听，但是只监听本机的UDP端口，拒绝接收来自其他主机的log信息。如果是两个ss,即-ss，表示不打开任何UDP端口，只在本机用/dev/log设备来记录log. 修改后的参数说明：

创建Windows下面的syslog日志服务器

我们需要测试一种集中日志系统，要在Windows上建立一个类Linux下的集中日志系统。 经过比较Winsyslog和Kiwisyslog等工具，最终选定Kiwisyslog(https://www.sodocs.net/doc/5d15995367.html,/)，它不仅功能齐全，而且提供免费的版本。 Kiwisyslog遵循标准的日志协议(RFC 3164)，并支持UDP/TCP/SNMP几种方式的日志输入。它默认是个免费的功能受限版（但功能基本够用了，只是没有找到汉化），自带发送模拟器﹑日志浏览器等实用工具。

我还测试了一下把ACE日志写到syslog的功能。过程记录如下： 1）使用klog工具 这个主要用到kiwisyslog的klog实用工具(这个工具同时提供dll库的调用方式,真是好东西，我决定以后在我的应用里都用它！)，它支持直接或用重定向的方法输出日志到kiwisyslog。 klog –m "It's almost lunchtime"

DIR *.* | klog -h 192.168.1.2 -i 但我试图使用ACE应用日志输出到kiwisyslog时（ace_app.exe | klog -h 192.168.1.2 -i的形式），发现日志内容里前后有乱码出现，即ACE的日志输出直接重定向到klog再转到kiwisyslog有问题；并且不能按时间一行一行的输出，而是等应用程序执行结束时一股脑输出到kiwisyslog（按回车换行切开成一条一条日志）。如果程序非正常结束，还不能将输出日志内容传到kiwisyslog。

还有一个方法是在Windows通过设置可以把ACE日志输出到系统日志里面。 ACE_LOG_MSG->set_flags (ACE_Log_Msg::SYSLOG); 然后按下面2）的方法转到kiwisyslog。 2）还可以把Windows下的事件日志转到Linux下的syslog

linux下syslog使用说明

syslog系统日志应用 1) 概述 syslog是Linux系统默认的日志守护进程。默认的syslog配置文件是/etc/syslog.conf文件。程序，守护进程和内核提供了访问系统的日志信息。因此，任何希望生成日志信息的程序都可以向 syslog 接口呼叫生成该信息。 几乎所有的网络设备都可以通过syslog协议，将日志信息以用户数据报协议(UDP)方式传送到远端服务器，远端接收日志服务器必须通过syslogd监听UDP 端口514，并根据 syslog.conf配置文件中的配置处理本机，接收访问系统的日志信息，把指定的事件写入特定文件中，供后台数据库管理和响应之用。意味着可以让任何事件都登录到一台或多台服务器上，以备后台数据库用off-line(离线) 方法分析远端设备的事件。 通常，syslog 接受来自系统的各种功能的信息，每个信息都包括重要级。/etc/syslog.conf 文件通知 syslogd 如何根据设备和信息重要级别来报告信息。 2) etc/syslog.conf 文件格式： facility.level action facility.level为选择条件本身分为两个字段，之间用一个小数点分隔。action和facility.level之间使用TAB隔开。前一字段是一项服务，后一字段是一个优先级。选择条件其实是对消息类型的一种分类，这种分类便于人们把不同类型的消息发送到不同的地方。在同一个syslog配置行上允许出现一个以上的选择条件，但必须用分号（;）把它们分隔开。action字段所表示的活动具有许多灵活性，特别是，可以使用名称管道的作用是可以使 syslogd 生成后处理信息。 要素分析： facility 指定 syslog 功能，主要包括以下这些： kern 内核信息，首先通过 klogd 传递； user 用户进程； mail 邮件； daemon 后台进程； authpriv 授权信息； syslog 系统日志； lpr 打印信息； news 新闻组信息； uucp 由uucp生成的信息 cron 计划和任务信息。 mark syslog 内部功能用于生成时间戳 local0----local7 与自定义程序使用，例如使用 local5 做为 ssh 功能 * 通配符代表除了 mark 以外的所有功能 level 指定syslog优先级（按严重程度由高到低的顺序列出了所有可能的优先级）： emerg 或 panic 该系统不可用（最紧急消息） alert 需要立即被修改的条件（紧急消息） crit 阻止某些工具或子系统功能实现的错误条件（重要消息） err 阻止工具或某些子系统部分功能实现的错误条件（出错消息） warning 预警信息（警告消息） notice 具有重要性的普通条件（普通但重要的消息） info 提供信息的消息（通知性消息） debug 不包含函数条件或问题的其他信息（调试级-信息量最多） none 没有重要级，通常用于排错（不记录任何日志消息） * 所有级别，除了none action: 1. /var/log/lastlog : 记录每个使用者最近签入系统的时间, 因此当使用者签入时, 就会显示其上次签入的时间, 您应该注意一下这个时间, 若不是您上次签入的时间, 表示您的帐号可能被人盗用了. 此档可用 /usr/bin/lastlog 指令读取. 2. /var/run/utmp : 记录每个使用者签入系统的时间, who, users, finger 等指令会查这个档案. 3. /var/log/wtmp : 记录每个使用者签入及签出的时间, last 这个指令会查这个档案. 这个档案也记录 shutdown 及 reboot 的动作. 4. /var/log/secure : 登录系统的信息

日志服务器搭建

目录 1, 系统要求 (ii) 2, 需要的源码包软件 (ii) 3, rsyslog安装配置 (ii) 3.1，修改apache配置 (ii) 3.2，修改mysql配置 (ii) 3.3，rsyslog安装 (iii) 3.4，rsyslog配置 (iii) 3.5，数据库导入及测试 .................................................................... i v 4，安装loganalyzer并修改 (v) 5，客户端设置 (v) 5.1，windows客户端设置 (v) 5.2，linux客户端配置....................................................................... v i 5.3，网络设备设置 (vii)

1, 系统要求 Lamp(httpd-2.2.21, mysql-5.1.44, php-5.3.8) 2, 需要的源码包软件 Rsyslog-5.9.5.tar.gz Loganalyzer-3.5.0.tar.gz 3, rsyslog安装配置 3.1，修改apache配置 Vim /nybackup/syslog/server/apache/conf/httpd.conf AddDefaultCharset off #关掉默认字符设置 3.2，修改mysql配置 Vim /etc/https://www.sodocs.net/doc/5d15995367.html,f 在[client][mysqld][mysql]三个字段中添加 Default-character-set = latin1 #将字符集改为latin1 Mysql -u root -p Set names utf8 Grant insert on Syslog.* to write_user@localhost identified by 'writesyslog'; #增加一个只写的账号，用于rsyslog往mysql里面写日志

syslog-ng配置日志服务器学习总结

背景：因为项目需要，现使用syslog-ng搭建一台日志服务器，简单来说就是利用我们现有的虚拟机中的syslog-ng服务，搭建一台用于专名存放其他虚拟机（也包括自己）所产生的日志。由于一些用户以后将没有权限直接访问我们的ebackup 服务器，但又需要查看日志。便可以用过这台日志服务器来查看。日志服务器中的日志目录按照一定的规则设定，如“日期+主机名”等自行设定。 Syslog-ng介绍： 规则，实现更好的过滤功能。本次日志服务器的搭建是用的syslog-ng，关于syslog的具体描述可以参考下面的链接。 https://www.sodocs.net/doc/5d15995367.html,/subview/1614723/1614723.htm 1、syslog-ng的配置说明 syslog-ng的主配置文件存放在：/etc/syslog-ng/syslog-ng.conf中。首先需要简单介绍一下syslog-ng的架构。yslog-ng.conf中所有配置都是基于syslog-ng 的这样一种架构：LOG STATEMENTS『SOURCES － FILTERS －DESTINATIONS』即：消息路径『消息源－过滤器－目的站』 也就是说，通过定义多个消息源，把匹配上若干个过滤器的消息导向到指定的目的地，从而组成一个消息路径。 （1）、消息源source 格式为：source { sourcedriver params; sourcedriver params; ... }; 一个消息源的标识sourcedriver：消息源驱动器，可以支持若干参数，并使用分号“；”隔离多个消息源驱动器 消息源有以下几种： file (filename) ：从指定的文件读取日志信息 unix-dgram (filename) ：打开指定的SOCK_DGRAM模式的unix套接字，接收日志消息 unix-stream (filename) ：打开指定的SOCK_STREAM模式的unix套接字，接收日志消息 udp ( (ip),(port) ) ：在指定的UDP端口接收日志消息 tcp ( (ip),(port) ) ：在指定的TCP端口接收日志消息 sun-streams (filename) ：在solaris系统中，打开一个（多个）指定的STREAM设备，从其中读取日志消息 internal() ： syslog-ng内部产生的消息

SYSLOG日志数据采集实现

SYSLOG日志数据采集实现 在日常网络安全管理中应该建立起一套有效的日志数据采集方法，将所有安全设备的日志记录汇总，便于管理和查询，从中提取出有用的日志信息供网络安全管理方面使用，及时发现有关安全设备在运行过程中出现的安全问题，以便更好地保证网络正常运行。 日志文件能够详细记录系统每天发生的各种各样的事件，对网络安全起着非常的重要作用。网络中心有大量安全设备，将所有的安全设备逐个查看是非常费时费力的。另外，由于安全设备的缓存器以先进先出的队列模式处理日志记录，保存时间不长的记录将被刷新，一些重要的日志记录有可能被覆盖。因此在日常网络安全管理中应该建立起一套有效的日志数据采集方法，将所有安全设备的日志记录汇总，便于管理和查询，从中提取出有用的日志信息供网络安全管理方面使用，及时发现有关安全设备在运行过程中出现的安全问题，以便更好地保证网络正常运行。 采集技术比较 网络管理中常用来采集日志数据的方式包括文本方式采集、SNMP Trap方式采集和syslog方式采集，另外，其他采集方式，如Telnet采集(远程控制命令采集)、串口采集等。我们如何选用比较合适的技术方式进行日志数据采集是必须首先考虑的，下面对当前主要的日志数据采集技术进行简单分析。 文本方式 在统一安全管理系统中以文本方式采集日志数据主要是指邮件或FTP方式。邮件方式是指在安全设备内设定报警或通知条件，当符合条件的事件发生时，相关情况被一一记录下来，然后在某一时间由安全设备或系统主动地将这些日志信息以邮件形式发给邮件接受者，属于被动采集日志数据方式。其中的日志信息通常是以文本方式传送，传送的信息量相对少且需专业人员才能看懂。而FTP方式必须事先开发特定的采集程序进行日志数据采集，每次连接都是完整下载整个日志文本文件,网络传输数据量可能非常大，属于主动采集日志数据方式。 随着网络高速的发展，网络内部以百兆、千兆甚至万兆互联，即使采取功能强大的计算

启明星辰syslog信息详解

INFO_TYPE="STA_INFO" #(MAC)="48:5a:b6:45:dc:69" #(BRAND)="Hon Hai Precision Ind. Co.,Ltd." #(CAPTURE_TIME)=1436608388 #(TERMINAL_FIELD_STRENGTH)="-56" #(SSID_POSITION)="" #(ACCESS_AP_MAC)="80:f8:eb:ff:a1:c0" #(ACCESS_AP_CHANNEL)="1" #(ACCESS_AP_ENCRYPTION_TYPE)="99" #(PROBER_MAC)="80:f8:eb:0a:00:04" INFO_TYPE：信息类型，STA_INFO为station信息。 MAC：station的mac地址 BRAND：设备厂商信息，根据mac地址获得 CAPTURE_TIME：数据获取时间，1970年以来的秒数 TERMINAL_FIELD_STRENGTH：信号强度 SSID_POSITION：ssid，如果没有连，或者为隐藏ssid，也可能没有 ACCESS_AP_MAC：接入ap的mac地址 ACCESS_AP_CHANNEL：处于的频道 ACCESS_AP_ENCRYPTION_TYPE:加密类型 PROBER_MAC:探针mac地址 STATION信息会再探针检测到staion报文时发送。 AP信息详解 INFO_TYPE="AP_INFO" #(AP_MAC)="80:f8:eb:ff:a1:70" #(AP_SSID)="g500" #(AP_CHANNEL)="11" #(ENCRYPT_ALGORITHM_TYPE)=03 #(CAPTURE_TIME)=1436608399 #(AP_FIELD_STRENGT)="-32" #(PROBER_MAC)="80:f8:eb:0a:00:04" INFO_TYPE：信息类型，AP_INFO为ap信息。 AP_MAC：AP 的mac地址 AP_SSID：AP发射的ssid名称，如果ssid为隐藏的，此字段可能为空 AP_CHANNEL：AP所在的频道 ENCRYPT_ALGORITHM_TYPE：加密类型 CAPTURE_TIME：数据获取时间，1970年以来的秒数 AP_FIELD STRENGTH：信号强度 PROBER_MAC:探针mac地址 STATION信息会再探针检测到AP报文时发送。

搭建syslog服务器流程

1.安装系统 a)安装要求 i.PC配置： CPU：Intel P E2160（1.8GHz）以上 内存：1G以上 硬盘：80G以上 虚拟机要求： Kernel：linux 2.6 内存：512以上 硬盘：40G以上 b)安装系统 i.Linux syslog server要求用centos 5.5 下载地址： ed2 CentOS-5.5-i386-bin-DVD.iso|20|a1ce64b6d36d945f562cb1250d8d665f|h=fnfai2 pqdbdxmz5i5wshkaj22ttscbkg|/ c)配置网络 i.点击桌面上方的系统→管理→网络，配置eth0和DNS https://www.sodocs.net/doc/5d15995367.html,work Abapter修改为桥接模式 2.安装工具 a)安装GCC和make [root@FDWIN ~]# yum install gcc make b)安装LAMP平台 [root@FDWIN ~]# yum install php-mysql mysql mysql-server php-snmp php-pdo perl-DBDMySQL httpd php –y [root@FDWIN ~]# service mysqld start [root@FDWIN ~]# chkconfig mysqld on [root@FDWIN ~]#service httpd start [root@FDWIN ~]#chkconfig httpd on [root@FDWIN ~]# mysqladmin -uroot password '000000' [root@FDWIN ~]#vim /var/www/html/index.php 添加： 然后网页访问下出现OK说明没问题了。 进入centos的DVD盘然后安装rpm -vih php-gd- 进入centos的DVD盘然后安装rpm -ivh freetype- c)安装NET-SNMP 1. 下载net-snmp源码，并解压 [root@FDWIN proc]# wget /net-snmp/netsnmp/