专栏首页Bypass[ELK入门到实践笔记] 一、通过rsyslog搭建集中日志服务器

[ELK入门到实践笔记] 一、通过rsyslog搭建集中日志服务器

ELK 是elastic公司提供的一套完整的日志收集以及展示的解决方案,这是我在ELK学习和实践过程写下的笔记,整理成了一个ELK入门到实践的系列文章,分享出来与大家共勉。本文为该系列文章的第一篇,通过rsyslog搭建集中日志服务器,收集linux和window系统日志。

我们通常可以通过rsyslog来实现系统日志的集中管理,这种情况下通常会有一个日志服务器,然后每台服务器配置自己日志通过rsyslog来写到远程的日志服务器上,如下是rsyslog的配置过程:

0x01 rsyslog服务端配置

1、启用UDP/TCP进行传输

vim /etc/rsyslog.conf
# Provides UDP syslog reception    #若启用UDP进行传输,则取消下面两行的注释
$ModLoad imudp
$UDPServerRun 514


# Provides TCP syslog reception    #若启用TCP进行传输,则取消下面两行的注释
#$ModLoad imtcp
#$InputTCPServerRun 514

2、为避免修改主配置文件,我们在/etc/rsyslog.d/中新建default.conf,追加如下模板:

#### GLOBAL DIRECTIVES ####
# Use default timestamp format  # 使用自定义的日志格式
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
$template myFormat,"%timestamp% %fromhost-ip% %syslogtag% %msg%\n"
$ActionFileDefaultTemplate myFormat

# 根据客户端的IP单独存放主机日志在不同目录,rsyslog需要手动创建
$template RemoteLogs,"/var/log/rsyslog/%fromhost-ip%/%fromhost-ip%_%$YEAR%-%$MONTH%-%$DAY%.log"
# 排除本地主机IP日志记录,只记录远程主机日志
:fromhost-ip, !isequal, "127.0.0.1" ?RemoteLogs
# 忽略之前所有的日志,远程主机日志记录完之后不再继续往下记录
& ~

3、重启rsyslog服务

systemctl restart rsyslog

0x02 rsyslog客户务端配置

1、启用UDP进行传输并设置远程日志服务器

vim /etc/rsyslog.conf

# Provides UDP syslog reception    #若启用UDP进行传输,则取消下面两行的注释
$ModLoad imudp
$UDPServerRun 514

# Provides TCP syslog reception    #若启用TCP进行传输,则取消下面两行的注释
#$ModLoad imtcp
#$InputTCPServerRun 514

*.*    @192.168.91.18:514          #若启用TCP传输则使用@@,若是UDP则使用@

2、重启rsyslog服务

systemctl restart rsyslog

0x03 效果展示

通过使用自定义日志格式,将不同服务器IP的日志单独分别存放在不同目录。到这里,使用rsyslog服务端和linux系统日志收集已完成。

0x04 扩展部分:Rsyslog Windows Agent

一般情况下,我们会使用winlogbeat用于收集windows的系统事件日志,但其实rsyslog自身也提供了一个Rsyslog Windows代理,用来收集windows日志。

下载地址:https://www.rsyslog.com/windows-agent/windows-agent-download/

安装过程:

1、双击rsyslogwa安装包,开始进行安装

2、一路Next安装即可。PS:在这里可能需要等几分钟。

操作使用:

1、打开RSyslog Windows Agent Configuration,在Tools---> Stslog Test Message,配置Syslog Server服务器地址,点击Send,进行测试。

在Rsyslog服务端,接收到一条测试日志,说明Rsyslog通讯正常。

Nov 1 13:23:18 192.168.165.193 RSyslog Windows Agent: This is a SyslogTest

2、依次展示RuleSets,进行Rsyslog转发配置,并启用服务。

在rsyslog服务端进行验证,如尝试远程连接window服务器,可接收到多条服务器日志。

本文分享自微信公众号 - Bypass(Bypass--),作者:Bypass

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-11-04

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 推荐 | 10个好用的Web日志安全分析工具

    首先,我们应该清楚,日志文件不但可以帮助我们溯源,找到入侵者攻击路径,而且在平常的运维中,日志也可以反应出很多的安全攻击行为。

    Bypass
  • 使用ELK分析Windows事件日志

    这是ELK入门到实践系列的第三篇文章,分享如何使用ELK分析Windows事件日志。

    Bypass
  • MSSQL日志安全分析技巧

    常见的数据库攻击包括弱口令、SQL注入、提升权限、窃取备份等。对数据库日志进行分析,可以发现攻击行为,进一步还原攻击场景及追溯攻击源。

    Bypass
  • python web开发-flask中日

    INFO in Code [D:/xxxxx/flask/Code.py:20]:

    py3study
  • Python 日志(Log)

    eg_2 import logging LOG_FORMAT = "%(asctime)s=====%(levelname)s++++++%(messag...

    py3study
  • 日本数学鬼才的幻象魔术,千万人已看瞎

    在认识日本数学家杉原厚吉(Kokichi Sugihara)前,我觉得自己视力没问题,但接下来的操作,让我感觉自己可能是瞎了。先来回答一下,如果下面的箭头旋转1...

    用户7378374
  • 最简单的实现,用ABAP创建非波拉契数列

    Jerry Wang
  • Flask Web开发:基于Python的Web应用开发实战

    本书共分三部分,全面介绍如何基于Python微框架Flask进行Web开发。首部分是Flask简介,介绍使用Flask框架及扩展开发Web程序的必备基础知识。第...

    用户3157710
  • 从何开始学习数据科学?小哥用亲身经历告诉你如何少走弯路

    几天前,我开始考虑如果必须重新开始学习机器学习和数据科学,我将从哪里开始?有趣的是,我如今想象的路径与我刚开始时实际走的路径完全不同。

    大数据文摘
  • 第01期 ARTS 打卡计划

    给出一个 32 位的有符号整数,你需要将这个整数中每位上的数字进行反转。假设我们的环境只能存储得下 32 位的有符号整数,则其数值范围为 [−2^31, 2^3...

    闻人的技术博客

扫码关注云+社区

领取腾讯云代金券