实战搭建L inux 远程日志服务器

2018-07-14王继敏

科技视界 2018年29期

王继敏

（河南科技学院信息工程学院，河南新乡 453003）

【关键字】Linux；日志

0 引言

日志服务器将系统上发生的重要事件记录下来，以协助系统管理员进行安全分析、故障排查及合规审计等。但如果遭受到非法入侵，入侵者会删除日志以防止入侵行为被追踪，而将日志记录在远程服务器就可以避免这种情况。常见的Linux 发行版都是采用的rsyslog 来实现日志服务的，并可以较方便的将一台Linux 主机配置为远程日志服务器。本文将阐述相关的技术原理和实现方法。

本文所述的命令、配置文件等都基于RHEL6.3（Redhat Enterprise Linux 6.3），不同Linux 发行版之间或许有细微的差别，这些差异不在本文的探讨范围之内。

1 日志

Linux 下的日志记录了系统每天发生的各种各样的事情，可以通过它来检查错误发生的原因，或者受到攻击时攻击者留下的痕迹。日志主要的功能有：审计和监测。 RHEL6 下的日志文件存放在/var/log 目录下，下面举几个常见日志的例子：

●/var/log/dmesg

核心启动日志。这个日志文件记录了内核启动时候输出的信息。

●/var/log/messages

系统报错日志。

●/var/log/maillog

邮件系统日志。

●/var/log/secure

安全信息、认证登录和与xinetd 有关的日志。

●/var/log/cron

计划任务执行成功与否的日志。

●/var/log/wtmp

记录所有的登录和登出。可以用last 命令查看所有登录过系统的用户和IP。

●/var/log/btmp

记录错误的登录尝试。可以用lastb 命令查看。注意，这个文件如何突然快速增大，可能有人试图暴力破解用户密码。

●/var/log/lastlog

记录每个用户的最后登录信息。

RHEL6 下有一个tailf 命令非常适合用于监控日志文件的变化。例如输入命令 “tailf /var/log/secure”，这时，屏幕显示的末尾就是系统输出的最新的安全信息、认证登录和与xinetd 有关的日志。

2 日志的分类和分级

Linux 下的日志采用先分类，然后在每个类别下分级的管理模式。日志种类可以分为七类[1]：

●authpriv 安全认证相关

●cron at 和cron 定时任务相关

●deamon 定时任务相关

●kern 内核产生

●lpr 打印系统产生

●mail 邮件系统产生

●syslog 日志服务本身

除上面列出的七类常见日志以外，还有news（新闻系统相关）、uucp（unix to unix copy）等日志类型（目前已经不太常用）。另外，还有local0～lobal7 这八个日志类型，是系统保留的，可以供其他程序使用或者用户自定义使用。

日志又可以分为八种级别，按照级别由低到高分别是：

●debug 排错信息

●info 正常信息

●notice 稍微要注意的

●warn 警告

●err(error) 错误

●crit(critical) 关键的错误

●alert 警报警惕

●emerg(emergence) 紧急突发事件

3 日志的总管家rsyslog

在RHEL6 中日志由系统服务rsyslog 进行管理和控制。最小化安装RHEL6 后，rsyslog 服务默认是开启的。该服务的配置文件位于/etc/rsyslog.conf，下面对该配置文件进行简单描述。

该配置文件主要分为MODULES 和TOOLS 两小节。MODULES 小节设置rsyslog 服务加载的模块。其中#号表示注释。其中比较重要的是“#$ModLoad imudp”和“#$UDPServerRun 514”两行，取消掉该行注释后，表示允许514 端口接收使用UDP 协议转发过来的日志。这样可以把本主机配置为集中式的日志服务器，它接收并存储其它主机的日志，提高了整个系统的安全性。 “#$ModLoad imtcp”和“#$InputTCPServerRun 514”功能相同，只不过采用的是TCP 协议。

RULES 这一节定义了不同类型和级别的日志应存放在哪里。例如，“*.info;mail.none;authpriv.none;cron.none /var/log/messages” 表示除了mail 日志、authpriv 日志和cron 日志之外，其它的所有类型info 级别及以上的日志都存放在/var/log/messages 下。