Rsyslog小百科之操作記錄日志審計(jì)開啟
點(diǎn)擊上方“IT那活兒”�,關(guān)注后了解更多精彩內(nèi)容!?。?/span>
在一個(gè)健全的應(yīng)用系統(tǒng)中���,日志系統(tǒng)是一個(gè)非常重要的組成部分��。日志系統(tǒng)可以記錄下系統(tǒng)產(chǎn)生的所有行為�����,能夠在系統(tǒng)異常時(shí)給運(yùn)維人員指明方向���,能夠使運(yùn)維人員及時(shí)排錯(cuò),優(yōu)化系統(tǒng)。因此在一個(gè)完整的系統(tǒng)中���,日志是非常重要的��。
在安全的領(lǐng)域中���,安全系統(tǒng)需要記錄在服務(wù)器上面的所有操作,同時(shí)對(duì)這些操作的危險(xiǎn)性進(jìn)行評(píng)估����,并發(fā)送出對(duì)應(yīng)的告警。同時(shí)如果系統(tǒng)中有任何組件異常也可以從操作歷史命令中發(fā)現(xiàn)異常����。因此,主機(jī)系統(tǒng)的操作日志也在日志系統(tǒng)中有著舉足輕重的地位��。因此�,今天我們通過rsyslog服務(wù)來開啟系統(tǒng)操作日志的記錄。
rsyslog服務(wù)是一個(gè)syslog的多線程增強(qiáng)版��,提供了高性能,極好的安全功能和模塊化設(shè)計(jì)�����。同時(shí)支持不同服務(wù)器中的日志轉(zhuǎn)發(fā),因此��,使用rsyslog搭建系統(tǒng)操作記錄日志中轉(zhuǎn)平臺(tái)是首選��。
首先�����,在進(jìn)行操作前����,需要先了解rsyslog服務(wù)中的local0-7的用法。Local0-7日志為rsyslog服務(wù)提供的共用戶使用的自定義日志���,我們只需要將操作日志自定義存儲(chǔ)到local0-7日志中的一部分,即可對(duì)日志進(jìn)行轉(zhuǎn)發(fā)等配置��。其次����,在進(jìn)行操作日志記錄的配置的時(shí)候,我們需要先確定一點(diǎn)��,我們?cè)谌罩局行枰裁葱畔?���。我們首先需要的是最基本的����,操作的命令和操作命令?duì)應(yīng)的時(shí)間����。其次,目前大部分服務(wù)器都是通過遠(yuǎn)程了連接的方式登錄�,因此獲取遠(yuǎn)程操作此服務(wù)起的主機(jī)ip也就至關(guān)重要了。然后���,在日常操作中���,我們操作的命令并不一定是全路徑,因此獲取執(zhí)行操作是的路徑也非常重要����。最后就是獲取主機(jī)的IP。分析完畢后����,我們可以發(fā)現(xiàn),前面幾項(xiàng)都可以通過格式化history命令來實(shí)現(xiàn)�����,最后一項(xiàng)則需要自己編寫命令來獲取主機(jī)IP。接下來����,就開始正式操作。第一個(gè)難題���,我們?nèi)绾稳ビ涗涍@些命令呢��,我首先想到的方案是編寫腳本實(shí)時(shí)運(yùn)行在主機(jī)上���。但是此條直接被我pass掉。先不說是否對(duì)主機(jī)性能存在影響�,但是每臺(tái)服務(wù)器都需要維護(hù),就是一大維護(hù)工作量�。因此最好將這些東西集成到系統(tǒng)中�����。然后我就想到了既然能夠在環(huán)境變量的配置文件格式化歷史命令����,那么我能不能嘗試在環(huán)境變量中測(cè)試腳本呢?因此��,我編寫了一個(gè)簡單的腳本��,通過這個(gè)腳本可以及時(shí)記錄這些操作命令的相關(guān)信息���,并將其記錄到rsyslog服務(wù)的local4.info日志中。這個(gè)腳本簡單易懂���,一目了然���。a. 在使用source /etc/profile 命令刷新環(huán)境變量文件后,發(fā)現(xiàn)并無明顯腳本錯(cuò)誤的地方���。然后測(cè)試history命令是否成功���。b. 很顯然,測(cè)試成功��。然后輸出HOSTIP變量��,查看獲取到的ip是否準(zhǔn)確c. 操作成功���,最后頭疼的是我們并沒有辦法查看日志是否記錄到的local4.info日志中����。但是,rsyslog默認(rèn)的message日志是能夠記錄主機(jī)上面所有info級(jí)別的日志����,然后查看message日志,果然成功了����。d. 至此我們離成功只剩一步,我們只需要將這個(gè)日志輸出到一個(gè)固定的文件中即可��。主機(jī)的操作記錄日志注定不會(huì)存在很大的記錄量����,因此我們無需考慮日志占用空間問題。e. 這時(shí)候我們直接在/etc/rsyslog.conf文件中添加一條配置:f. #將操作日志輸入到/var/log/下面的history.log中:local4.info /var/log/history.logg. 然后執(zhí)行重啟rsyslog的命令使其生效:h. 重啟后可以在/var/log下面看到history日志:話語說到這里�����,也該結(jié)束了本篇文章���,本文中所講解的用法只使用了rsyslog服務(wù)的基本功能�,還有更多用法有待挖掘��,例如日志轉(zhuǎn)發(fā)等�����,但這些不在本文涉及范圍內(nèi)��,就不再過多講解�����,感謝大家的觀看��!本 文 原 創(chuàng) 來 源:IT那活兒微信公眾號(hào)(上海新炬王翦團(tuán)隊(duì))
文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為�����,您可以聯(lián)系管理員刪除���。
轉(zhuǎn)載請(qǐng)注明本文地址:http://systransis.cn/yun/129713.html
