1.1概述
前两期文章已介绍网络安全审计、syslog和免费开源的日志记录软件,本期文章就客户端配置日志中心进行总结分享,希望各位小伙伴有所收获。
1.2关键词
rsyslog、evtsys、info-center
1.3Linux系统日志中心配置
Linux系统使用rsyslog程序发送系统产生的日志,系统日志中心配置如下所示。
第1步:检查系统是否安装了rsyslog程序;
rpm -qa | grep rsyslog
第2步:修改/etc/rsyslog.conf配置文件,配置日志记录服务器;
rsyslog.conf配置文件行尾增加下面内容,即客户端将本地日志发送到日志记录服务器;
##配置采用TCP协议发送日志信息;
*.* ?@@192.168.1.106:514
##配置采用UDP协议发送日志信息;
*.* ?@192.168.1.106:514
rsyslog.conf配置文件修改完毕后,重启rsyslog服务。
systemctl restart rsyslog
第3步:高级选项配置——记录linux系统执行的所有命令并写入系统日志/var/log/messages中;
修改/etc/bashrc配置文件,在文件行尾增加以下内容;
export PROMPT_COMMAND='{ msg=$(history 1 | { read x y; echo $y; });logger "[euid=$(whoami)]":$(who am i):[`pwd`]"$msg"; }'
bashrc配置文件修改完毕后,设置其生效。
source /etc/bashrc
第4步:查看日志记录服务器接收到linux系统日志及数据报文;?
?
?
?
1.4Windows系统日志中心配置
Windows系统自身无向日志服务器程序,需要安装第三方的插件程序,如开源第三方插件“evtsys”。Windows系统日志中心配置步骤如下所示:
第1步:在命令提示符中使用命令“secpol.msc”打开系统“本地安全策略”。按下图所示,配置“审核策略”;
?
第2步:在命令提示符中安装“evtsys”程序,如下图所示;
#安装evtsys程序并指定日志记录服务器,192.168.1.106即是日志记录服务器
evtsys -i -h 192.168.1.106
#启动evtsys服务
net start evtsys
#停止evtsys服务
net stop evtsys
#卸载evtsys程序。停止evtsys服务后,再卸载程序
evtsys -u
#查看evtsys服务状态
?
?
第3步:查看日志记录服务器接收到windows日志及数据报文 ;
?
1.5常用网络设备日志中心配置
以华三网络设备日志中心为配置案例。
#启用日志中心功能
[SW_1]info-center enable?
Information center is enabled.
#配置日志记录服务器IP
[SW_1][SW_1]info-center loghost 192.168.1.106
[SW_1]
#查看华三网络设备日志中心配置情况
?
#查看日志记录服务器接收到华三网络设备的日志及数据报文
?
?1.6总结
本期本章总结分享linux系统、windows系统和常用网络设备日志中心的配置,希望大家有所收获,不足之处,欢迎各位小伙伴留言指正。
?
?