用FreeBSD建置集中式日誌伺服器

2021-09-21 19:50:28 字數 2514 閱讀 3849

[背景]

今天看到李晨光兄,發了一篇"linux系統儲存交換機日誌",想到這幾天一直在freebsd上配置**日誌伺服器,今天在他的基礎上也來說說這個吧!

基礎知識可以看李晨光兄寫的[url]我今天著重講

(1)freebsd下做**日誌伺服器

(2)收集交換機/路由器,linux,windows的日誌

[過程]

以freebsd7(或者其他版本,不過4好像出了點問題,現在還在除錯)為日誌伺服器接收平台

freebsd7日誌伺服器配置

將要收集的伺服器新增到hosts檔案中,作用看syslog.conf配置

(1)/etc/hosts

***.yyy.x.22        switch

***.yyy.x.161        linux

***.yyy.x.162        windows

開起freebsd接收遠端的日誌(這與linux不同,大家可以與李兄的文章比對下,嘿嘿!)

(2)/etc/rc.conf

syslogd_flags="-4 -a 0/0:*"

執行/etc/netstart

修改後的引數說明:

-4 只監聽ipv4埠,如果你的網路是ipv6協議,可以換成-6

-a 0/0:* 接受來自所有網段所有埠傳送過來的log資訊。(為什麼不指定埠,因為交換機和windows傳送log的埠是高階口,所以不能限定埠

我就是因為這個,而在接收交換機的日誌時,沒有收到!大家注意,根據不同情況做不同的要求。而對linux來說,它沒有這方面的說明,也就是預設

接收所有埠,相對而言,freebsd在這方面是比它安全的喲!)

配置syslog.conf

(3)/etc/syslog.conf

+switch

*.*                /var/log/switch.log

+linux

authpriv.*        /var/log/linux.log

+windows

deamon.*        /var/log/windows.log

執行/etc/rc.d/syslogd restart

在這裡+[hostname] 指的是由這個 host 過來的資訊利用以下 block 的方式記錄

(4)檢查netstat -an,開起乙個ipv4 udp 451埠

ps aux|grep syslogd

結果:/usr/sbin/syslogd -4 -a 0/0:*

(5)餘下工作

touch /var/log/switch.log linux.log windows.log

到這裡,基本上是搞定了,大家可以用

tcpdump src host ip

tail -f /var/log/switch.log

來觀察嘍....

客戶端配置

[i]交換機/路由器

大家參考李晨光的blog

[ii]linux

只需要修改下syslog.conf

authpriv.*                                              @ip

ip為我那台freebsd**日誌伺服器的ip

[iii]windows

對於unix類主機之間記錄日誌,由於協議、軟體和日誌資訊格式等都大同小異,因此實現起來比較簡單,但是windows的系統日誌格式不同,日誌記錄軟

件,方式等都不同。因此,我們需要第三方的軟體來將windows的日誌轉換成syslog型別的日誌後,**給syslog伺服器。

安裝步驟

[url]

把這兩個檔案拷貝到 c:\windows\system32目錄下。

開啟windows命令提示符(開始->執行 輸入cmd)

c:\>evtsys –i –h ***.yyy.x.100

-i 表示安裝成系統服務

-h 指定log伺服器的ip位址

如果要解除安裝evtsys,則:

net stop evtsys

evtsys -u

啟動該服務:

c:\>net start evtsys

開啟windows組策略編輯器 (開始->執行 輸入 gpedit.msc)

在windows

設定-> 安全設定 ->

本地策略->審核策略中,開啟你需要記錄的windows日誌。evtsys會實時的判斷是否有新的windows日誌產生,然後把新產生的日誌轉

換成syslogd可識別的格式,通過相應埠傳送給syslogd伺服器。

ok,所有的配置windows端配置完成

注意:windows的evtsys是以daemon裝置的方式傳送給 syslogd log資訊的。

因此,需要在/etc/syslog.conf中加入:

deamon.*        /var/log/windows.log

[總結]

這樣大家結合李兄與我的文章便可以配置比較全的**日誌伺服器了。爽吧?笑乙個....

用ELK打造視覺化集中式日誌

elk是elastic search,logstash和kibana三者的簡稱。elastic search顧名思義是致力於搜尋,它是乙個彈性搜尋的技術平台,與其相似的有solr,二者的對比可參考下面這篇文章 elastic search與solr選型 總結一下就是,如果你不喜歡夜店咖還是喜歡忠實可...

集中式vs分布式

linus一直痛恨的cvs及svn都是集中式的版本控制系統,而git是分布式版本控制系統,集中式和分布式版本控制系統有什麼區別呢?先說集中式版本控制系統,版本庫是集中存放在 伺服器的,而幹活的時候,用的都是自己的電腦,所以要先從 伺服器取得最新的版本,然後開始幹活,幹完活了,再把自己的活推送給 伺服...

集中式儲存解決方案

das 直接附加儲存 適合單台伺服器 1 das指的是什麼 指將儲存裝置通過scsi介面或光纖通道直接連線到一台計算機上 2 das的適用哪些環境 a 伺服器在地理分布上很分散,通過san或nas在它們之間進行互連非常困難時。b 儲存系統必須被直接連線到應用伺服器上時 c 只有單台伺服器,儲存裝置無...