一、日志服務(wù)器簡介

日志對于一個系統(tǒng)有著舉足輕重的作用。日志可以審計和監(jiān)測服務(wù)器的系統(tǒng)狀態(tài)，對于監(jiān)測和追蹤入侵者是十分重要的。一旦服務(wù)器有什么異常，系統(tǒng)管理員第一時間肯定想到的是查看日志服務(wù)。

對于黑. 客來說，當入侵了一個服務(wù)器后，在進行了一系列的操作之后，最后一步就是要清理掉日志服務(wù)器的日志記錄。但是，有一些企業(yè)為了更安全，也為了便于管理，通常在公司內(nèi)部架設(shè)一臺日志服務(wù)器，然后將多個服務(wù)器的日志信息實時的傳送到日志服務(wù)器上。因此，當黑. 客入侵了公司的一臺服務(wù)器，最后也清除了改服務(wù)器上的系統(tǒng)日志，但是，黑. 客入侵的信息已經(jīng)被實時的傳送到了日志服務(wù)器上。攻擊者要想不被系統(tǒng)管理員發(fā)現(xiàn)，必須入侵到日志服務(wù)器，刪除到自己的入侵記錄，這樣便給攻擊者增加了難度。更有甚者，為了安全起見，系統(tǒng)管理員會把日志服務(wù)器與打印機相連，實時的將日志內(nèi)容打印出來。當然了，這樣會造成大量浪費。但是，如果這樣，即使攻擊者刪除了日志服務(wù)器上的入侵記錄也沒有有了，因為攻擊者的入侵記錄已經(jīng)被打印出來。除非攻擊者可以飛檐走壁，潛入公司內(nèi)部，拿走相應(yīng)的日志記錄文件。哈哈，這顯然是不可能的。好了，言歸正傳，接下來我們使用兩臺Linux主機來配置Linux日志服務(wù)器。

傳輸日志共有三種方法

1.UDP傳輸協(xié)議：基于傳統(tǒng)的UDP協(xié)議進行遠程日志的傳輸，這也是傳統(tǒng)的傳輸方式。正如UDP協(xié)議的傳輸特點，盡最大可能交付，可靠性較差，但是網(wǎng)絡(luò)帶寬消耗最少（因為不需要建立連接等等），在網(wǎng)絡(luò)情況較差的情況下可能丟失日志信息。

2.TCP傳輸協(xié)議：基于傳統(tǒng)的TCP協(xié)議進行傳輸，需要進行消息的確認，可靠性較高。但是如果服務(wù)器宕機或者網(wǎng)絡(luò)出現(xiàn)故障的情況下也還是會丟失日志信息。

３.RELP傳輸協(xié)議：RELP（Reliable Event Logging Protocol）是基于TCP封裝的可靠日志傳輸協(xié)議，RELP在傳輸過程中不會丟失日志信息，但是必須在rsyslogd版本為3.15.0以上才能使用。（注：使用rsyslogd  -version來查看rsyslogd版本信息）

二、實驗環(huán)境

兩臺Linux主機，一臺作為Linux客戶機，另一臺作為Linux日志服務(wù)器。兩臺主機處于同一網(wǎng)段，必須可以ping通。在本次實驗中，Linux日志服務(wù)器的IP地址是192.168.100.1，Linux客戶機的IP地址是192.168.100.2。

查看Linux日志服務(wù)器的IP地址

查看Linux日志客戶機的IP地址

三、實驗步驟

1.RELP傳輸協(xié)議（因為默認并沒有安裝RELP庫，所以必須先安裝RELP庫）

Linux日志服務(wù)器端

（1）：配置本地yum源并安裝rsyslog-relp

修改配置文件，文件內(nèi)容如下

保存退出，然后掛載光盤鏡像

我這顯示已經(jīng)掛載過光盤了。然后安裝

若出現(xiàn)如下內(nèi)容則安裝成功

（2）：配置Linux日志服務(wù)器（配置文件在/etc/rsyslog.conf）

修改配置文件內(nèi)容如下（在后面添加兩行紅色方框內(nèi)的內(nèi)容）

 這兩行表示使用relp模式傳輸，傳輸端口為2514

（3）：開啟傳輸端口監(jiān)聽

修改內(nèi)容如下： 

-r指定監(jiān)聽端口，-c2表明是兼容模式

（4）：重啟日志服務(wù)

（5）：關(guān)閉防火墻

Linux客戶機端

（1）：修改日志文件

 修改內(nèi)容如下

（2）：重啟日志服務(wù)

（3）：關(guān)閉防火墻

測試：

（1）：在服務(wù)器端查看log下的messages

（2）：在客戶機輸入測試語句

（3）：在服務(wù)器上可以看見客戶機上的日志信息（客戶機的日志信息傳輸?shù)搅朔?wù)器上）

2.TCP傳輸協(xié)議

Linux日志服務(wù)器端

（1）：修改服務(wù)器的配置文件

修改內(nèi)容如下（去掉TCP前面兩行注釋，并且將之前RELP傳輸協(xié)議的內(nèi)容注釋起來）

（2）：設(shè)置監(jiān)聽端口

修改內(nèi)容如下（此時端口為514）

（3）重啟日志服務(wù)

 （4）：關(guān)閉防火墻

Linux客戶機端

（1）：修改日志配置文件

修改內(nèi)容如下（在配置文件中添加下圖中內(nèi)容，并且將之前RELP的內(nèi)容注釋掉）

（2）：重啟日志服務(wù)

（3）：關(guān)閉防火墻

測試

（1）：在服務(wù)器端查看log下的messages

（2）：在客戶機輸入測試語句

（3）：在服務(wù)器上可以看見客戶機上的日志信息（客戶機的日志信息傳輸?shù)搅朔?wù)器上）

3.UDP傳輸協(xié)議

Linux日志服務(wù)器端

（1）： 修改服務(wù)器的配置文件

修改內(nèi)容如下（去掉UDP前面兩行注釋，并且將之前TCP的內(nèi)容注釋掉）

（2）：設(shè)置監(jiān)聽端口

修改內(nèi)容如下

（3）：重啟服務(wù)

（4）：關(guān)閉防火墻

Linux客戶端

（1）：修改日志配置文件

（2）：修改內(nèi)容如下（將之前的內(nèi)容注釋掉）

（3）：重啟服務(wù)

（4）：關(guān)閉防火墻

測試

（1）：在服務(wù)器端查看log下的messages

（2）：在客戶機輸入測試語句

（3）：在服務(wù)器上可以看見客戶機上的日志信息（客戶機的日志信息傳輸?shù)搅朔?wù)器上）

這樣，三種傳輸方式配置日志的就完成了。建議最好使用RELP傳輸方式。

總結(jié)

以上為個人經(jīng)驗，希望能給大家一個參考，也希望大家多多支持腳本之家。