系统日志
解析脚本外,用户可以自定义脚本。满足多种响应需求,如邮件、执行外部程序、Syslog等。#每日三件事,第990天#
《中华人民共和国网络安全法》第二十一条第一款第三项规定网络运营者应采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月。在GB/T22239《网络安全等级保护基本要求》的安全计算环境中,对安全审计也有明确的要求。
在落实法律义务和责任,开展网络安全等级保护工作的过程中,日志服务器成了必不可少的一项。商用的日志审计系统固然好,但利用CentOS7也可以做一个简单的日志服务器,收集网络中其他设备的日志信息。
日志服务器端的配置:
yum install syslog,其实CentOS7默认就已经安装了rsyslog服务。系统会自动检测,并不会重新安装一遍syslog服务。
vim /etc/rsyslogconf,找到#Providers TCP syslog reception这一行,把下面两行前面的#去掉即可:
#Providers TCP syslog reception
$ModLoad imtcp
$InputTCCPServerRun 514
======分割线 ======
在/etc/rsyslogd/创建一个名为client_ipconf的文件,每个日志发送客户端创建一个文件。我的实验环境中有一个ip为19216811的客户端,因此创建一个19216811conf的文件。
vim /etc/rsyslogd/19216811conf
:fromhost-ip,isequal, "19216811" /var/log/client/19216811log
systemctl restart rsyslog
重启之后一定要检查一下,使用命令:systemctl status rsyslog,并且保证rsyslog服务能够在开机时自动启动。
客户端的配置如下:
vim /etc/rsyslogconf,去掉#Providers TCP syslog reception下面两行的注释:
#Providers TCP syslog reception
$ModLoad imtcp
$InputTCCPServerRun 514
在最后一行添加:
@@192168110:514
其中192168110是日志服务器的IP地址。
systemctl restart rsyslog,并查看rsyslog的状态,保证服务在开机时自动启动。
此时在日志服务器上就可以接收到客户端发来的日志信息了。绿盟日志审计系统是一款用于日志管理和审计的软件,当无法收到日志时,可以考虑以下几个方面:1检查绿盟日志审计服务器是否正常运行;2检查日志采集代理是否正常运行,是否配置正确;3如果是网络日志,要检查网络是否正常,防火墙是否阻止采集。4如果是本地日志,需要确保日志输出路径和格式是否正确,检查是否有权限等因素影响。对于以上情况,需要根据实际情况进行排查,并及时解决,以保障日志审计系统的正常运行和数据安全。
日志审计提供查看探针端所有执行命令的日志查看功能。
通过日志审计用户可以一目了然的掌握所有 *** 作命令的执行结果及错误原因,帮助用户快速定位系统存在的问题。
一、进入日志审计界面
1 打开服务器面板
方式一:双击服务器
方式二:选中服务器,右键显示选项菜单,点击“服务器面板”
2 日志审计
二、功能简介
1 日志搜索
① 根据日志类型搜索
② 根据时间范围搜索
③ 根据关键字搜索
2 日志删除
点击“删除”,d框确认删除 *** 作
提示:每一步的 *** 作都会记录日志,用户可以通过日志查看 *** 作记录,以便更好的管理和维护云服务器!
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)