【每日一记】第11天+通用 LINUX配置syslog接入日志审计（LAS）

配置方法

以 root 身份登录主机

1）执行命令：“vi /etc/syslog.conf”（或者 rsyslog.conf）。

2）在文件末添加如下内容：authpriv.*;*.err @SyslogserverIP 其中 debug 和@符号之间是一个 Tab

键而不是空格，IP 地址填写收集 Syslog 接收服务器的地址（LAS 地址）。

3）保存配置文件：执行命令“:wq”。

4）重新启动 syslog 服务，执行命令“service syslog restart”（或者/etc/init.d/rsyslog restart）。

下图是一台 Linux 配置发送 syslog 到深信服日志审计系统（192.168.100.174）的配置：

上面是官方接入手册给的配置方法，接下来听我叭叭几句

要写这个文章的初衷是，昨天来了位深信服厂家的工程师，新上架的sip-logger要配置服务器的接入，想让我干，与我基本不相关也就是我电脑方便登录那两台电脑，偷个懒就准备不管了。

然后小伙子有点犯难了，登录社区，查资料，问客服，算了，看看都跟深信服相关，我叭叭配合他弄半天，还顺带加班一个半小时，给配置排障方法发出来，大家共同学习进步下，争取都做熟练工一起愉快摸鱼。（虽然我一开始配的时候也很费劲，跟400客服沟通了一个礼拜），经验总结出来，希望大家一小时就弄好，其他时间愉快摸鱼。

上面的接入文档说了，root身份登录主机，我就默认大家已经是root权限了。

下面的命令复制粘贴就好了。

1. #开始编辑配置文件
   
2. vi /etc/rsyslog.conf
   
3. 
   
4. #贴进去下面三行
   
5. authpriv.*(按一下tab键）@日志审计设备IP
   
6. *.err(按一下tab键）@日志审计设备IP
   
7. *.debug(按一下tab键）@日志审计设备IP
   
8. #按 :wq 保存退出
   
9. 
   
10. #重启rsyslog服务
    
11. service rsyslog restart

复制代码

vi /etc/rsyslog.conf这个命令敲到命令行里以后，不要犹豫page down键按住不要放手，可以直接到最后一行，然后按一下end键跳转到最后一个字符（也许大佬有更好的方法，小白的我就是page down + end组合）

按键盘上的 i 键进入插入模式，注意，先按下右，然后再敲回车新起一行

贴我说要贴到配置文件里面的那几行

因为复制以后贴到帖子里tab键变空格了，我手打的，大家改ip的时候就一起改一下

然后是说一下日志的格式及类型

格式::
日志设备(类型).(连接符号)日志级别   日志处理方式(action)

日志设备(可以理解为日志类型):
———————————————————————-
auth        –pam产生的日志
authpriv    –ssh,ftp等登录信息的验证信息
cron        –时间任务相关
kern        –内核
lpr         –打印
mail        –邮件
mark(syslog)–rsyslog服务内部的信息,时间标识
news        –新闻组
user        –用户程序产生的相关信息
uucp        –unix to unix copy, unix主机之间相关的通讯
local 1~7   –自定义的日志设备
日志级别:
———————————————————————-
debug       –有调式信息的，日志信息最多
info        –一般信息的日志，最常用
notice      –最具有重要性的普通条件的信息
warning     –警告级别
err         –错误级别，阻止某个功能或者模块不能正常工作的信息
crit        –严重级别，阻止整个系统或者整个软件不能正常工作的信息
alert       –需要立刻修改的信息
emerg       –内核崩溃等严重信息
none        –什么都不记录

大佬需要什么日志自取（可能大佬不需要看我这个帖子），写到配置文件里就行。

这里有一点要提醒的是，一两台服务器的话还好说，如果多了，你可以先写记事本里，改好统一格式以后往命令行里面贴。

最后是重启rsyslog日志服务，然后去日志审计设备收日志就是了。

因为配置了authpriv.*所以会收集ssh,ftp等登录信息的验证信息，也就是你退出ssh重新登陆就会有日志生成。生成日志快，那边能很快的确认能否收到日志。

接入手册说的是syslog或者rsyslog，因为我这里解除的都是rsyslog，所以就按照rsyslog写的。

然后就是排障

如果日志审计那边收不到日志，我的思路是按照下面的几个方面看一下

1.日志采集规则是否配置正确，并包含该服务器

2.日志采集设备ping服务器通不通

3.服务器ping日志采集设备通不通

4.服务器telnet日志采集设备514端口（默认）通不通

5.如果中间做了地址转换，服务器的出接口IP地址跟采集器配置的是否一致。

非常感谢楼主的分享哈，在茫茫的社区，可以看到很多LINUX对接到LAS的日志，但是这篇让大家可以看的更加详细，尤其是在LINUX本身的日志说明，让小白也可以很快的上手。其中有两点需要注意，第一点，不建议开启debug，日志量会非常非常大。第二，LAS的策略配置以及原始日志如何查找楼主可以整理汇总一下，LAS是非常有意思的一款产品，玩的好了可以和SIP相媲美，期待楼主的下次分享！

接入手册说的是syslog或者rsyslog，因为我这里解除的都是rsyslog，所以就按照rsyslog写的。

然后就是排障

如果日志审计那边收不到日志，我的思路是按照下面的几个方面看一下

1.日志采集规则是否配置正确，并包含该服务器

2.日志采集设备ping服务器通不通

3.服务器ping日志采集设备通不通

4.服务器telnet日志采集设备514端口（默认）通不通

5.如果中间做了地址转换，服务器的出接口IP地址跟采集器配置的是否一致。

感谢分享有助于工资和学习！

感谢分享有助于工资和学习！

感谢分享有助于工资和学习！

感谢分享有助于工资和学习！

感谢分享有助于工资和学习！

感谢分享有助于工资和学习！

感谢分享有助于工资和学习！

感谢分享有助于工资和学习！