由於等保的要求,日誌必須留存180天,關鍵是安全設備、服務器、網絡設備日誌、訪問日誌和攻擊日誌等,由於設施過於分散管理過於複雜,其中部分設備由於並未配置硬盤存儲,本地留存能力有限。
需要架設一臺統一的日誌服務器,集中存儲和備份各類關鍵設施的日誌
一、搭建並測試和運行rsyslog
1、centos7上安裝rsyslog
yum install rsyslog
2、關閉防火牆
systemctl stop firewalld
3、配置rsyslog配置文件/etc/rsyslog.conf,修改以下內容
取消註釋:
$ModLoad imklog //內核日誌功能
$ModLoad immark //日誌標籤功能
$ModLoad imudp //啓用UDP接收syslog , 一般設備syslog都是走UDP
$UDPServerRun 514 //端口號514
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
$ActionFileEnableSync on
底部增加配置:
$template IpTemplate,"/var/log/syslog/%FROMHOST-IP%/%$year%-%$month%-%$day%.log.log"
*.* ?IpTemplate
- 第一行是定義了一個日誌接收存儲模板,名稱爲IpTemplate(可任意),"/var/log/syslog/%FROMHOST-IP%/%$year%-%$month%-%$day%.log.log"是日誌文件存儲路徑,用到了幾個變量,根據不同IP分了目錄,每個IP目錄下每天會生成一個日誌文件
- 第二行是對任意類型調用這個名爲IpTemplate的模板
4、配置完成,啓動rsyslog服務
systemctl start rsyslog
5、配置好log源端設備後監控日誌記錄情況,例如:
[root@epay-jycenter-server ~]# tail -f /var/log/syslog/127.0.0.1/2020-10-12.log.log
測試主機同步
修改對應客戶端主機的rsyslog.conf配置文件,指向對應系統日誌到服務器主機
確認並重啓客戶端rsyslog
[root@zabbix_server ~]# /etc/init.d/rsyslog restart