[背景]
今天看到李晨光兄,發了一篇"linux系統儲存交換機日誌",想到這幾天一直在freebsd上配置**日誌伺服器,今天在他的基礎上也來說說這個吧!
基礎知識可以看李晨光兄寫的[url]我今天著重講
(1)freebsd下做**日誌伺服器
(2)收集交換機/路由器,linux,windows的日誌
[過程]
以freebsd7(或者其他版本,不過4好像出了點問題,現在還在除錯)為日誌伺服器接收平台
freebsd7日誌伺服器配置
將要收集的伺服器新增到hosts檔案中,作用看syslog.conf配置
(1)/etc/hosts
***.yyy.x.22 switch
***.yyy.x.161 linux
***.yyy.x.162 windows
開起freebsd接收遠端的日誌(這與linux不同,大家可以與李兄的文章比對下,嘿嘿!)
(2)/etc/rc.conf
syslogd_flags="-4 -a 0/0:*"
執行/etc/netstart
修改後的引數說明:
-4 只監聽ipv4埠,如果你的網路是ipv6協議,可以換成-6
-a 0/0:* 接受來自所有網段所有埠傳送過來的log資訊。(為什麼不指定埠,因為交換機和windows傳送log的埠是高階口,所以不能限定埠
我就是因為這個,而在接收交換機的日誌時,沒有收到!大家注意,根據不同情況做不同的要求。而對linux來說,它沒有這方面的說明,也就是預設
接收所有埠,相對而言,freebsd在這方面是比它安全的喲!)
配置syslog.conf
(3)/etc/syslog.conf
+switch
*.* /var/log/switch.log
+linux
authpriv.* /var/log/linux.log
+windows
deamon.* /var/log/windows.log
執行/etc/rc.d/syslogd restart
在這裡+[hostname] 指的是由這個 host 過來的資訊利用以下 block 的方式記錄
(4)檢查netstat -an,開起乙個ipv4 udp 451埠
ps aux|grep syslogd
結果:/usr/sbin/syslogd -4 -a 0/0:*
(5)餘下工作
touch /var/log/switch.log linux.log windows.log
到這裡,基本上是搞定了,大家可以用
tcpdump src host ip
tail -f /var/log/switch.log
來觀察嘍....
客戶端配置
[i]交換機/路由器
大家參考李晨光的blog
[ii]linux
只需要修改下syslog.conf
authpriv.* @ip
ip為我那台freebsd**日誌伺服器的ip
[iii]windows
對於unix類主機之間記錄日誌,由於協議、軟體和日誌資訊格式等都大同小異,因此實現起來比較簡單,但是windows的系統日誌格式不同,日誌記錄軟
件,方式等都不同。因此,我們需要第三方的軟體來將windows的日誌轉換成syslog型別的日誌後,**給syslog伺服器。
安裝步驟
[url]
把這兩個檔案拷貝到 c:\windows\system32目錄下。
開啟windows命令提示符(開始->執行 輸入cmd)
c:\>evtsys –i –h ***.yyy.x.100
-i 表示安裝成系統服務
-h 指定log伺服器的ip位址
如果要解除安裝evtsys,則:
net stop evtsys
evtsys -u
啟動該服務:
c:\>net start evtsys
開啟windows組策略編輯器 (開始->執行 輸入 gpedit.msc)
在windows
設定-> 安全設定 ->
本地策略->審核策略中,開啟你需要記錄的windows日誌。evtsys會實時的判斷是否有新的windows日誌產生,然後把新產生的日誌轉
換成syslogd可識別的格式,通過相應埠傳送給syslogd伺服器。
ok,所有的配置windows端配置完成
注意:windows的evtsys是以daemon裝置的方式傳送給 syslogd log資訊的。
因此,需要在/etc/syslog.conf中加入:
deamon.* /var/log/windows.log
[總結]
這樣大家結合李兄與我的文章便可以配置比較全的**日誌伺服器了。爽吧?笑乙個....
用ELK打造視覺化集中式日誌
elk是elastic search,logstash和kibana三者的簡稱。elastic search顧名思義是致力於搜尋,它是乙個彈性搜尋的技術平台,與其相似的有solr,二者的對比可參考下面這篇文章 elastic search與solr選型 總結一下就是,如果你不喜歡夜店咖還是喜歡忠實可...
集中式vs分布式
linus一直痛恨的cvs及svn都是集中式的版本控制系統,而git是分布式版本控制系統,集中式和分布式版本控制系統有什麼區別呢?先說集中式版本控制系統,版本庫是集中存放在 伺服器的,而幹活的時候,用的都是自己的電腦,所以要先從 伺服器取得最新的版本,然後開始幹活,幹完活了,再把自己的活推送給 伺服...
集中式儲存解決方案
das 直接附加儲存 適合單台伺服器 1 das指的是什麼 指將儲存裝置通過scsi介面或光纖通道直接連線到一台計算機上 2 das的適用哪些環境 a 伺服器在地理分布上很分散,通過san或nas在它們之間進行互連非常困難時。b 儲存系統必須被直接連線到應用伺服器上時 c 只有單台伺服器,儲存裝置無...