由于等保的要求,日志必须留存180天,关键是安全设备、服务器、网络设备日志、访问日志和攻击日志等,由于设施过于分散管理过于复杂,其中部分设备由于并未配置硬盘存储,本地留存能力有限。
需要架设一台统一的日志服务器,集中存储和备份各类关键设施的日志
一、搭建并测试和运行rsyslog
1、centos7上安装rsyslog
yum install rsyslog
2、关闭防火墙
systemctl stop firewalld
3、配置rsyslog配置文件/etc/rsyslog.conf,修改以下内容
取消注释:
$ModLoad imklog //内核日志功能
$ModLoad immark //日志标签功能
$ModLoad imudp //启用UDP接收syslog , 一般设备syslog都是走UDP
$UDPServerRun 514 //端口号514
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
$ActionFileEnableSync on
底部增加配置:
$template IpTemplate,"/var/log/syslog/%FROMHOST-IP%/%$year%-%$month%-%$day%.log.log"
*.* ?IpTemplate
- 第一行是定义了一个日志接收存储模板,名称为IpTemplate(可任意),"/var/log/syslog/%FROMHOST-IP%/%$year%-%$month%-%$day%.log.log"是日志文件存储路径,用到了几个变量,根据不同IP分了目录,每个IP目录下每天会生成一个日志文件
- 第二行是对任意类型调用这个名为IpTemplate的模板
4、配置完成,启动rsyslog服务
systemctl start rsyslog
5、配置好log源端设备后监控日志记录情况,例如:
[root@epay-jycenter-server ~]# tail -f /var/log/syslog/127.0.0.1/2020-10-12.log.log
测试主机同步
修改对应客户端主机的rsyslog.conf配置文件,指向对应系统日志到服务器主机
确认并重启客户端rsyslog
[root@zabbix_server ~]# /etc/init.d/rsyslog restart