rsyslog远程记录系统日志

2024-02-08 18:12

本文主要是介绍rsyslog远程记录系统日志,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

rsyslog是一个快速处理手机系统日志的开源程序,提供了高性能,安全功能和模块化设计,rsyslog是syslog的升级版,他讲多重来源输入输出转换结果到目的地,rsyslog被广泛用于Linux系统以通过TCP/UDP协议转发或接收日志消息。

rsyslog守护进程可以被配置成两种环境,一种是配置成日志手机服务器,rsyslog进程可以从网络中收集其他主机上的日志数据,这些主机会将日志配置为发送到另外的远程服务器,rsyslog的另外一个用法,就是可以配置为客户端,用来过滤和发送内部日志消息到本地文件夹(如/var/log)或一台可以路由到的远程rsyslog服务器上

下面来操作一下:

  1. rsyslog服务器(收集):192.168.89.129
  2. rsyslog 主机(发送):192.168.89.128

实现client主机通过rsyslog发送自身的系统日志到rsyslog server服务器,服务器端将该主机系统日志存放到一个指定的目录里面,进行按IP和日志简单分类存储

  • rsyslog服务器端配置

centos系统默认安装了rsyslog服务

两台服务器都进行以下操作进行备份:

cp /etc/rsyslog.conf /etc/rsyslog.conf_default

vi /etc/rsyslog.conf

收集服务器:192.168.89.129:

  1. 取消下面两行注释,开始UDP 514接收配置

$ModLoad imudp

$UDPServerRun 514

  1. 在$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat这一行添加如下配置

 $template Remote,"/var/log/syslog/%fromhost-ip%/%fromhost-ip%_%$YEAR%-%$MONTH%-%$DAY%.log"

:fromhost-ip, !isequal, "127.0.0.1" ?Remote

& ~

  1. 重启rsyslog服务

systemctl restart rsyslog 

  • rsyslog客户端配置(发送):

vim /etc/rsyslog.conf

1、取消如下五行注释

$ActionQueueFileName fwdRule1 # unique name prefix for spool files

$ActionQueueMaxDiskSpace 1g   # 1gb space limit (use as much as possible)

$ActionQueueSaveOnShutdown on # save messages to disk on shutdown

$ActionQueueType LinkedList   # run asynchronously

$ActionResumeRetryCount -1    # infinite retries if host is down

  1. 最后一行添加收集端的信息

*.* @192.168.89.129

  1. 重启rsyslog服务

systemctl restart rsyslog

  • 在服务端验证效果

cd /var/log/syslog

cd 192.168.89.128

cat 192.168.89.128_2024-02-07.log

这时,就会记录系统中的常规系统日志到我们的日志服务器当中

然后,通过测试,发现日志的记录并不完全,我根据需求,想要的是记录到每个用户的操作记录,不管是管理员还是普通用户,类似于;

每一条都能记录,不管是执行了什么操作

这时,我们通过对每个用户的.bashrc文件进行操作

~/.bashrc       -每个用户的家目录下会有这个文件,使用ls -a可以看到

export PROMPT_COMMAND='RETRN_VAL=$?;logger -n XX.XX.XX.XX -P 514 -p local6.debug "$(whoami) [$$]: $(history 1 | sed "s/^[ ]*[0-9]\+[ ]*//") [$RETRN_VAL]"'

这段代码的目的是在每次 Bash shell 提示符出现之前记录一条日志消息,这条消息包含了用户的一些信息和最后执行的命令。这可能用于审计或监控用户的活动。

`PROMPT_COMMAND` 是一个 Bash shell 特定的环境变量,每次命令提示符出现之前,都会执行 `PROMPT_COMMAND` 中定义的命令。

在这段代码中,`RETRN_VAL=$?` 获取并存储了最后执行的命令的返回值。

`logger -n XX.XX.XX.XX -P 514 -p local6.debug "$(whoami) [$]: $(history 1 | sed "s/^[ ]*[0-9]\+[ ]*//") [$RETRN_VAL]"` 这条命令使用 `logger` 工具将一条日志消息发送到远程日志服务器 `XX.XX.XX.XX` 的 `514` 端口。这条消息包含了以下信息:

- 当前用户的用户名(`whoami`)

- 最后执行的命令(通过 `history 1 | sed "s/^[ ]*[0-9]\+[ ]*//"` 获取)

- 最后执行的命令的返回值(`$RETRN_VAL`)

总的来说,这段代码的作用是在每次提示符出现之前记录一条日志消息,这条消息包含了用户的一些信息和最后执行的命令。这可能用于审计或监控用户的活动。

到这里,我们的操作基本上就完成了,可以很完全的记录操作的信息,但是,唯一的一个遗憾,就是我通过测试,没能达到好的效果去检测 反弹shell 的操作记录,能够实现通过rsyslog记录,但是缺点就是在通过审计日志记录日志的时候,审计日志(auditd)会调用execve,但是execve可能会产生大量的日志数据,因为auditd会记录所有的execve调用,包括系统和服务的后台活动。我测试的时候几条命令,产生了一万五千多条日志,所以,有懂得老师们欢迎评论区留言

这篇关于rsyslog远程记录系统日志的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/691810

相关文章

Node.js学习记录(二)

目录 一、express 1、初识express 2、安装express 3、创建并启动web服务器 4、监听 GET&POST 请求、响应内容给客户端 5、获取URL中携带的查询参数 6、获取URL中动态参数 7、静态资源托管 二、工具nodemon 三、express路由 1、express中路由 2、路由的匹配 3、路由模块化 4、路由模块添加前缀 四、中间件

flume系列之:查看flume系统日志、查看统计flume日志类型、查看flume日志

遍历指定目录下多个文件查找指定内容 服务器系统日志会记录flume相关日志 cat /var/log/messages |grep -i oom 查找系统日志中关于flume的指定日志 import osdef search_string_in_files(directory, search_string):count = 0

记录每次更新到仓库 —— Git 学习笔记 10

记录每次更新到仓库 文章目录 文件的状态三个区域检查当前文件状态跟踪新文件取消跟踪(un-tracking)文件重新跟踪(re-tracking)文件暂存已修改文件忽略某些文件查看已暂存和未暂存的修改提交更新跳过暂存区删除文件移动文件参考资料 咱们接着很多天以前的 取得Git仓库 这篇文章继续说。 文件的状态 不管是通过哪种方法,现在我们已经有了一个仓库,并从这个仓

学习记录:js算法(二十八):删除排序链表中的重复元素、删除排序链表中的重复元素II

文章目录 删除排序链表中的重复元素我的思路解法一:循环解法二:递归 网上思路 删除排序链表中的重复元素 II我的思路网上思路 总结 删除排序链表中的重复元素 给定一个已排序的链表的头 head , 删除所有重复的元素,使每个元素只出现一次 。返回 已排序的链表 。 图一 图二 示例 1:(图一)输入:head = [1,1,2]输出:[1,2]示例 2:(图

perl的学习记录——仿真regression

1 记录的背景 之前只知道有这个强大语言的存在,但一直侥幸自己应该不会用到它,所以一直没有开始学习。然而人生这么长,怎就确定自己不会用到呢? 这次要搭建一个可以自动跑完所有case并且打印每个case的pass信息到指定的文件中。从而减轻手动跑仿真,手动查看log信息的重复无效低质量的操作。下面简单记录下自己的思路并贴出自己的代码,方便自己以后使用和修正。 2 思路整理 作为一个IC d

SSM项目使用AOP技术进行日志记录

本步骤只记录完成切面所需的必要代码 本人开发中遇到的问题: 切面一直切不进去,最后发现需要在springMVC的核心配置文件中中开启注解驱动才可以,只在spring的核心配置文件中开启是不会在web项目中生效的。 之后按照下面的代码进行配置,然后前端在访问controller层中的路径时即可观察到日志已经被正常记录到数据库,代码中有部分注释,看不懂的可以参照注释。接下来进入正题 1、导入m

远程工具-SecureCRT/SecureFX

下载地址: https://www.portablesoft.org/securecrt-securefx-integrated/

【微服务】Ribbon(负载均衡,服务调用)+ OpenFeign(服务发现,远程调用)【详解】

文章目录 1.Ribbon(负载均衡,服务调用)1.1问题引出1.2 Ribbon负载均衡1.3 RestTemplate整合Ribbon1.4 指定Ribbon负载均衡策略1.4.1 配置文件1.4.2 配置类1.4.3 定义Ribbon客户端配置1.4.4 自定义负载均衡策略 2.OpenFeign面向接口的服务调用(服务发现,远程调用)2.1 OpenFeign的使用2.1 .1创建

flume系列之:记录一次flume agent进程被异常oom kill -9的原因定位

flume系列之:记录一次flume agent进程被异常oom kill -9的原因定位 一、背景二、定位问题三、解决方法 一、背景 flume系列之:定位flume没有关闭某个时间点生成的tmp文件的原因,并制定解决方案在博主上面这篇文章的基础上,在机器内存、cpu资源、flume agent资源都足够的情况下,flume agent又出现了tmp文件无法关闭的情况 二、

Linux常用工具与命令日常记录(长期更新)

Linux常用工具与命令日常记录(长期更新) 目录 1.本地复制到远程2.Linux压缩拆包与解压3.生成随机密码4.ubuntu默认Python版本设置5.计算当前文件夹中文件数量6.windows中编写shell脚本,在Linux运行出错7.history 历史命令显示时间用户8.Ubuntu18.04设置源、网卡9.Ubuntu18.04设置网卡10.Ubuntu:自定义开