CentOS搭建日志服務器

一、前言

在現(xiàn)代IT環(huán)境中，日志管理是系統(tǒng)和網(wǎng)絡管理的重要組成部分，日志記錄了系統(tǒng)運行過程中發(fā)生的各種事件，通過分析這些日志，可以有效地監(jiān)控系統(tǒng)狀態(tài)、排查故障、進行安全審計等，本文將詳細介紹如何在CentOS上搭建一個高效的日志服務器，以便集中管理和分析日志數(shù)據(jù)。

二、日志的簡介及作用

日志對于系統(tǒng)和網(wǎng)絡安全至關重要，它記錄了每天系統(tǒng)中發(fā)生的所有事情，以下是日志的幾個主要功能：

1、審計和監(jiān)測：記錄所有系統(tǒng)活動，包括登錄、命令執(zhí)行等。

2、安全監(jiān)控：檢測潛在的安全威脅，如未授權訪問和系統(tǒng)漏洞利用。

3、故障排查：提供詳細的錯誤報告和警告信息，幫助管理員快速定位和解決問題。

4、合規(guī)要求：滿足法規(guī)和企業(yè)政策對日志記錄和保留的要求。

三、了解日志

1. 日志文件分類

在Linux系統(tǒng)中，日志文件通常存儲在/var/log目錄下，常見的日志文件包括：

系統(tǒng)日志：記錄系統(tǒng)啟動、內(nèi)核消息等，例如/var/log/messages或/var/log/syslog。

登錄日志：記錄用戶登錄信息，例如/var/log/secure或/var/log/auth.log。

程序日志：記錄特定服務或應用程序的活動，例如/var/log/httpd（Apache）或/var/log/mysql（MySQL）。

2. 日志管理服務

日志管理主要由rsyslog服務負責，配置文件為/etc/rsyslog.conf。rsyslog支持靈活的配置，可以將日志發(fā)送到本地文件、遠程服務器或通過郵件發(fā)送。

3. 日志記錄的日志級別

日志級別用于定義日志消息的重要性，常見的日志級別包括：

debug：調(diào)試信息，詳細程度最高。

info：普通信息，系統(tǒng)正常運行時的消息。

notice：需要注意的信息，不如警告嚴重。

warning：警告信息，可能表示某種異常情況。

err：錯誤信息，表示系統(tǒng)遇到了問題。

crit：嚴重錯誤，可能導致系統(tǒng)崩潰。

alert：緊急情況，需要立即采取措施。

emerg：緊急情況，系統(tǒng)無法繼續(xù)運行。

4. 日志的異地備份

為了防止日志丟失或被篡改，通常會將日志備份到異地服務器，這可以通過rsyslog的遠程日志接收功能實現(xiàn)，將日志發(fā)送到另一臺日志服務器。

四、實驗環(huán)境及設備

為了搭建和測試日志服務器，我們需要準備以下環(huán)境和設備：

實驗環(huán)境：使用VMware或其他虛擬化平臺創(chuàng)建虛擬機。

設備：

一臺Windows 10客戶端（用戶端）

兩臺CentOS 7 x64服務器（中間設備和源服務器）

五、實驗拓撲圖

Windows 10 (Client)
       
        
         
          --CentOS 7 (Log Server)

六、配置網(wǎng)絡環(huán)境

1. 配置中間設備【CentOS 7】對應網(wǎng)卡ens33

編輯網(wǎng)卡配置文件vim /etc/sysconfig/network-scripts/ifcfg-ens33，設置靜態(tài)IP地址：

TYPE="Ethernet"
BOOTPROTO="static"
NAME="ens33"
DEVICE="ens33"
ONBOOT="yes"
IPADDR="192.168.1.254"
NETMASK="255.255.255.0"
GATEWAY="192.168.1.1"
DNS1="8.8.8.8"

重啟網(wǎng)絡服務使配置生效：

systemctl restart network

2. 配置PC（Windows 10）的IP地址和網(wǎng)關

打開控制面板 -> 網(wǎng)絡和Internet -> 網(wǎng)絡和共享中心 -> 本地連接 -> 屬性 -> IPv4協(xié)議版本 -> 屬性，設置IP地址和網(wǎng)關：

IP地址：192.168.1.100

子網(wǎng)掩碼：255.255.255.0

默認網(wǎng)關：192.168.1.254

3. 配置中間設備的另一塊網(wǎng)卡ens36

編輯網(wǎng)卡配置文件vim /etc/sysconfig/network-scripts/ifcfg-ens36，設置靜態(tài)IP地址：

TYPE="Ethernet"
BOOTPROTO="static"
NAME="ens36"
DEVICE="ens36"
ONBOOT="yes"
IPADDR="172.16.1.254"
NETMASK="255.255.255.0"

重啟網(wǎng)絡服務使配置生效：

systemctl restart network

4. 配置服務器（CentOS 7）并檢查是否能ping通網(wǎng)關

編輯網(wǎng)卡配置文件vim /etc/sysconfig/network-scripts/ifcfg-ens33，設置靜態(tài)IP地址：

TYPE="Ethernet"
BOOTPROTO="static"
NAME="ens33"
DEVICE="ens33"
ONBOOT="yes"
IPADDR="172.16.1.1"
NETMASK="255.255.255.0"
GATEWAY="172.16.1.254"
DNS1="8.8.8.8"

重啟網(wǎng)絡服務使配置生效：

systemctl restart network

5. 開啟中間設備的路由功能并檢查連通性

編輯/etc/sysctl.conf文件，確保以下行沒有被注釋：

net.ipv4.ip_forward = 1

使更改生效：

sysctl -p

檢查PC和服務器之間的連通性，確保能夠相互ping通，如果無法ping通，請檢查防火墻設置，必要時關閉防火墻：

systemctl stop firewalld
systemctl disable firewalld

七、搭建日志服務器

1. 安裝rsyslog軟件包

確保系統(tǒng)已經(jīng)安裝了rsyslog：

yum install rsyslog -y

2. 配置rsyslog服務器

編輯/etc/rsyslog.conf文件，添加以下內(nèi)容以啟用TCP和UDP接收：

$ModLoad imtcp
$InputTCPServerRun 514
$ModLoad imudp
$InputUDPServerRun 514

3. 創(chuàng)建日志目錄并設置權限

在/var/log目錄下創(chuàng)建一個新的目錄來存儲遠程日志：

mkdir -p /var/log/remote/{hostname}
chmod 755 /var/log/remote/{hostname}

4. 配置日志模板和規(guī)則

在/etc/rsyslog.conf文件中添加以下內(nèi)容，以定義日志格式和保存路徑：

使用RemoteLogs模板接受客戶端的日志，保存到本地的/var/log/remote目錄下，然后是每臺客戶端的ip_年份_月份_日期的log
$template RemoteLogs,"/var/log/remote/%fromhost-ip%/%fromhost-ip%_%$YEAR%-%$MONTH%-%$DAY%.log"
*.* ?RemoteLogs; #所有服務所有級別的日志都記錄
& ~ #指示rsyslog在將消息寫入文件后停止處理消息，如果不包含"& ~"，則消息將被寫入兩次。

5. 重啟rsyslog服務并驗證配置

重啟rsyslog服務以應用配置更改：

systemctl restart rsyslog

檢查端口是否開放：

netstat -antup | grep 514

八、配置日志客戶端并發(fā)送日志到服務器

1. 安裝rsyslog客戶端軟件包（如果尚未安裝）

yum install rsyslog -y

2. 配置客戶端發(fā)送日志到服務器

編輯/etc/rsyslog.conf文件，添加以下內(nèi)容以指定日志服務器地址和端口：

*.* @@172.16.1.254:514 #使用TCP協(xié)議發(fā)送所有級別的日志到日志服務器的514端口

3. 重啟客戶端rsyslog服務以應用更改

systemctl restart rsyslog

4. 驗證配置是否生效

在客戶端執(zhí)行以下命令生成一些日志條目：

logger "Test log message from client"

在日志服務器上查看接收到的日志：

tail -f /var/log/remote/{client_ip}/{client_ip}_YYYY-MM-DD.log

九、常見問題及解答（FAQs）

Q1: 如果客戶端無法連接到日志服務器怎么辦？

檢查以下幾點：

確保日志服務器的IP地址和端口號正確。

確?？蛻舳撕头掌髦g的網(wǎng)絡連接正常，沒有防火墻阻止流量。

確保日志服務器上的rsyslog服務正在運行并監(jiān)聽正確的端口。

Q2: 如何更改日志的保留策略？

可以使用logrotate工具來管理日志文件的輪轉(zhuǎn)、壓縮、刪除等操作，編輯/etc/logrotate.d/rsyslog文件，根據(jù)需要調(diào)整配置，設置日志文件的最大尺寸為50MB，保留最近7天的日志：

/var/log/messages {
    size 50M
    rotate 7
    compress
    delaycompress
    missingok
    notifempty
    create 640 root adm
    sharedscripts
    postrotate
        /usr/lib/rsyslog/rsyslog-rotate
    endscript
}