机一多,log就多,log一多就乱,乱了就很难处理状况,
因此若是可以集中在一台主机上,不就ok了吗?
这就是syslog Server是也!
作法很简单,要稍微记一下即可!
1.设定Log Server:
我们欲传送到哪一台机器上,那台机器即是Log Server,
vi /etc/sysconfig/syslog
SYSLOGD_OPTIONS="-r -m 0"
原本是没有-r的,所以加入-r即可。
改完后重新启动syslog,即可生效。
PS: netstat -an|grep 514有listen就ok !
2.设定要传送机器的syslog.conf
这里以要传送iptables的log为例子,
首先整理一下,将iptables与kernal其他讯息分开,
vi /etc/syslog.conf
kern.* /var/log/kernel
kern.=debug /var/log/iptables.log
然后iptables再用以下语法,呼应kern=debug即可分开:
#iptables -A INPUT -j LOG --log-tcp-options --log-ip-options --log-level debug --log-prefix '[IPTABLES INPUT] : '
#iptables -A OUTPUT -j LOG --log-tcp-options --log-ip-options --log-level debug --log-prefix '[IPTABLES OUTPUT] : '
#iptables -A FORWARD -j LOG --log-tcp-options --log-ip-options --log-level debug --log-prefix '[IPTABLES FORWARD] : '
不过,只是分开了而已,倘若我要传的就是iptables的log
就将kern.=debug /var/log/iptables改为kern.=debug @hostip
而一般的log就不必经过iptables的步骤,直接将档名路径改为@IP就可以了。
阅读(613) | 评论(0) | 转发(0) |
