一、Linux 主机日志
不同的 Linux 版本,syslog 服务名可能为 syslog,也可能为 rsyslog;以下以 syslog
为例说明。
Linux 主机所有的日志文件一般都在/var/log 下,默认只是不记录 FTP 的 活 动 ,
Linux系统的日志文件是可以配置的,Linux syslog设备依据两个重要的文件:/etc/syslogd
守护进程和/etc/syslog.conf 配置文件。通过将需要处理的日志发送到 日志审计
日志审计中心就可以采集到 Linux 主机的日志信息了。
配置方法如下:
首先我们对/etc/syslog.conf 文件进行编辑,在文件后面加入下面一行:
*.info @x.x.x.x
配置完成后需要重启 syslog 服务才能生效service syslog restart
最后需要开通 linux 主机设备到日志采集服务器之间经过防火墙的 UDP 514 端口
二、思科设备
1、Cisco 路由器
通过命令行方式在路由器上配置日志服务器的 ip 地址和端口
- 通过 Telnet 或者串口登陆到路由器
- 在控制台输入命令 enable 或 en 进入到特权模式
- 输入命令 configure terminal 或 conf t 进入配置模式
- 输入如下命令行:
(config)# Logging on //启用日志服务
(config)# Logging trap debug //决定什么级别的日志信息发送到服务器,一般有八个级别(emergency 紧急 ;alert 必须立即采取措施 ;critical 致命情况 ;error 错误情况 ;warn 警告情况 ; notice 一般重要情况 ;info 普通信息 ;debug 调试信息),debug 级别可以记录所有可以记录的信息
(config)# Logging host //指定日志服务器的 IP 地址
2、Cisco 交换机
cisco>en
cisco #conf t //进入到配置模式
cisco(config)#logging on //启用日志服务
cisco(config)#logging x.x.x.x //指定日志服务器 IP 地址//注:By de fault, the logging level is set to 3 (error).
cisco(config)#logging trap errors //指定发送日志级别,可选的级别有 0-7,0最低
emergencies System is unusable (severity=0)
alerts Immediate action needed (severity=1)
critical Critical conditions (severity=2)
errors Error conditions (severity=3)
warnings Warning conditions (severity=4)
notifications Normal but significant conditions (severity=5)
informational Informational messages (severity=6)
debugging Debugging messages (severity=7文章来源:https://www.toymoban.com/news/detail-445584.html
3、Cisco防火墙
cisco>en
cisco #conf t //进入到配置模式
cisco(config)#logging on //启用日志服务
cisco(config)#logging x.x.x.x //指定日志服务器 IP 地址
cisco(config)#logging trap informational //发送日志级别,可选的级别有 0-7,0最低
emergencies System is unusable (severity=0)
alerts Immediate action needed (severity=1)
critical Critical conditions (severity=2)
errors Error conditions (severity=3)
warnings Warning conditions (severity=4)
notifications Normal but significant conditions (severity=5)
informational Informational messages (severity=6)
debugging Debugging messages (severity=7)
最后需要开通防火墙设备到日志采集服务器之间经过防火墙的 UDP 514 端口文章来源地址https://www.toymoban.com/news/detail-445584.html
三、国产交换机
1、华为交换机
<Quidway>system-view
[Quiaway] info-center enable //启用日志服务
[Quiaway] info-center loghost x.x.x.x //指定日志服务器 IP 地址
2、华三交换机
<H3C-s8812-01 >system-view
[H3C-s8812-01] info-center enable //启用日志服务
[H3C-s8812-01] info-center loghost x.x.x.x //指定日志服务器 IP 地址
到了这里,关于日志审计-syslog日志外发的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!