Chinaunix首页 | 论坛 | 博客
  • 博客访问: 7655726
  • 博文数量: 1770
  • 博客积分: 18684
  • 博客等级: 上将
  • 技术积分: 16357
  • 用 户 组: 普通用户
  • 注册时间: 2010-06-02 10:28
个人简介

啥也没写

文章分类

全部博文(1770)

文章存档

2024年(15)

2023年(44)

2022年(39)

2021年(46)

2020年(43)

2019年(27)

2018年(44)

2017年(50)

2016年(47)

2015年(15)

2014年(21)

2013年(43)

2012年(143)

2011年(228)

2010年(263)

2009年(384)

2008年(246)

2007年(30)

2006年(38)

2005年(2)

2004年(1)

分类: LINUX

2009-02-26 10:35:27

一. 准备工作
wwwserver的ip: 210.77.144.2
logserver的ip: 210.77.144.1
本文使用Redhat 9.0来做Linux日志服务器. 请确认web服务器中的
/etc/hosts文件已经建立了logserver条目. 简单操作:
logserver的ip地址为210.77.144.1
[root@wwwserver /]# echo "210.77.144.1 logserver">>/etc/hosts
运行系统: Red Hat 9
三. 系统配置
1. 配置wwwserver的syslog.conf
修改web服务器syslog的配置文件/etc/syslog.conf, 告诉syslogd进程
传输本系统的日志信息到logserver上.
[root@wwwserver /]# vi /etc/syslog.conf
添加下面的代码到syslog.conf中:
*.* @logserver
2. 在wwwserver机器上重启syslogd
完成步骤一后, 重启syslogd以使用新的配置:
[root@wwwserver /]# killall -HUP syslogd
或者
[root@wwwserver /]# /etc/rc.d/init.d/syslog restart
3. 配置wwwserver机器的防火墙
添加允许从wwwserver的514端口传输udp封包到logserver的防火墙策略.
[ /] /sbin/iptables -A OUTPUT -p udp -i eth0 -s
210.77.144.2 -d 210.77.144.1 –destination-ports:514 -j ACCEPT
[ /] /sbin/iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT udp — 210.77.144.2 210.77.144.1
接上行udp dpt:syslog
注: 端口514用于syslog程序.
[root@wwwserver /]# cat /etc/services|grep 514/udp
syslog 514/udp
[root@wwwserver /]# /usr/sbin/lsof -i:514
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
syslogd 18014 root 10u IPv4 131882 UDP *:syslog
4. 配置logserver机器
到现在为止, 我们已经设置了允许web服务器发送日志信息到专用
日志服务器logserver. 接下来设置日志服务器能从Web服务器接受
日志文件信息.
[root@www /]# ps -aux|grep syslogd
root 2612 0.0 0.0 1440 340 ? S Feb03 0:01 syslogd -m 0
从上面可以看到syslogd进程号为1292, 我们需要停止syslogd
进程, 然后配置syslogd和重新启动.
[root@log /]# kill 1292
现在syslog进程已经终止, 我们需要重新启动syslog并启动
syslog的"远程接受(remote reception)"功能.
[root@log /]# /sbin/syslogd -rm 0
5. 确认日志服务器的syslog进程正确配置
检查/var/log/messages日志文件确认syslogd已重启
[root@log /]# tail -f /var/log/messages
在文件的底层你能看见:
Feb 11 14:52:42 log syslogd 1.4.1: restart (remote reception).
这样syslogd已经工作了.
6. 防火墙配置
在你的日志服务器上添加下面防火墙策略, 允许来自web服务器512端口的
udp数据传输到logserver上.
[root@log]# /sbin/iptables -A INPUT -p udp -i eth0 -s
210.77.144.2 -d 210.77.144.1 –sport 514 -j ACCEPT
[root@log root]# /sbin/iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT udp — 210.77.144.2 210.77.144.1 udp spt:syslog
…..
四. 测试
最后一步我们需要做的是验证所有的配置是否正常工作. 我们可以这样来
做, 首先从wwwserver登出和登陆:
[root@wwwserver /]# logout
Login: root
Password: xxxxxxxxxx
然后检查logserver上的日志文件/var/log/messages或者/var/log/secure)
, 可以看到下面的记录:
Feb 26 20:29:02 wwwserver login[1623]: ROOT LOGIN on `tty2′
从上面可以看出webserver上的root登陆记录到了logserver的日志文件中.
测试完毕.
 
阅读(1892) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~