1.1概述 前两期文章已介绍网络安全审计、syslog和免费开源的日志记录软件,本期文章就客户端配置日志中心进行总结分享,希望各位小伙伴有所收获。 1.2关键词 rsyslog、evtsys、info-center 1.3Linux系统日志中心配置 Linux系统使用rsyslog程序发送系统产生的日志,系统日志中心配置如下所示。 第1步:检查系统是否安装了rsyslog程序; rpm -qa | grep rsyslog 第2步:修改/etc/rsyslog.conf配置文件,配置日志记录服务器; rsyslog.conf配置文件行尾增加下面内容,即客户端将本地日志发送到日志记录服务器; ##配置采用TCP协议发送日志信息; *.* ?@@192.168.1.106:514 ##配置采用UDP协议发送日志信息; *.* ?@192.168.1.106:514 rsyslog.conf配置文件修改完毕后,重启rsyslog服务。 systemctl restart rsyslog 第3步:高级选项配置——记录linux系统执行的所有命令并写入系统日志/var/log/messages中; 修改/etc/bashrc配置文件,在文件行尾增加以下内容; export PROMPT_COMMAND='{ msg=$(history 1 | { read x y; echo $y; });logger "[euid=$(whoami)]":$(who am i):[`pwd`]"$msg"; }' bashrc配置文件修改完毕后,设置其生效。 source /etc/bashrc 第4步:查看日志记录服务器接收到linux系统日志及数据报文;? ? ?![](https://img-blog.csdnimg.cn/202109111146581.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAb25tZTA=,size_20,color_FFFFFF,t_70,g_se,x_16)
![](https://img-blog.csdnimg.cn/20210911114706928.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAb25tZTA=,size_20,color_FFFFFF,t_70,g_se,x_16) ? 1.4Windows系统日志中心配置 Windows系统自身无向日志服务器程序,需要安装第三方的插件程序,如开源第三方插件“evtsys”。Windows系统日志中心配置步骤如下所示: 第1步:在命令提示符中使用命令“secpol.msc”打开系统“本地安全策略”。按下图所示,配置“审核策略”; ?![](https://img-blog.csdnimg.cn/20210911114718408.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAb25tZTA=,size_20,color_FFFFFF,t_70,g_se,x_16) 第2步:在命令提示符中安装“evtsys”程序,如下图所示; #安装evtsys程序并指定日志记录服务器,192.168.1.106即是日志记录服务器 evtsys -i -h 192.168.1.106 #启动evtsys服务 net start evtsys #停止evtsys服务 net stop evtsys #卸载evtsys程序。停止evtsys服务后,再卸载程序 evtsys -u #查看evtsys服务状态 ?![](https://img-blog.csdnimg.cn/20210911114726987.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAb25tZTA=,size_20,color_FFFFFF,t_70,g_se,x_16)
![](https://img-blog.csdnimg.cn/20210911114734312.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAb25tZTA=,size_20,color_FFFFFF,t_70,g_se,x_16) ? 第3步:查看日志记录服务器接收到windows日志及数据报文 ; ?![](https://img-blog.csdnimg.cn/20210911114744784.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAb25tZTA=,size_20,color_FFFFFF,t_70,g_se,x_16)
![](https://img-blog.csdnimg.cn/20210911114751991.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAb25tZTA=,size_20,color_FFFFFF,t_70,g_se,x_16)
1.5常用网络设备日志中心配置 以华三网络设备日志中心为配置案例。 #启用日志中心功能 [SW_1]info-center enable? Information center is enabled. #配置日志记录服务器IP [SW_1][SW_1]info-center loghost 192.168.1.106 [SW_1] #查看华三网络设备日志中心配置情况 ?![](https://img-blog.csdnimg.cn/20210911114825782.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAb25tZTA=,size_20,color_FFFFFF,t_70,g_se,x_16) #查看日志记录服务器接收到华三网络设备的日志及数据报文 ?![](https://img-blog.csdnimg.cn/20210911114834184.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAb25tZTA=,size_20,color_FFFFFF,t_70,g_se,x_16) ?1.6总结 本期本章总结分享linux系统、windows系统和常用网络设备日志中心的配置,希望大家有所收获,不足之处,欢迎各位小伙伴留言指正。
?
?
|