這幾天調(diào)試網(wǎng)絡(luò)設(shè)備和安全設(shè)備的過程中發(fā)現(xiàn)有時(shí)候看日志很不方便，便找了一個(gè)自建日志服務(wù)器的方法，寫出來供大家備忘一下。

首先安裝一臺(tái)linux服務(wù)器，這里以centos 7.6為例，用這個(gè)操作系統(tǒng)的原因是它基于Red Hat，而且免費(fèi)的……

1、 先來看看操作系統(tǒng)的版本

順便記錄一下查看linux系統(tǒng)版本的幾種方法。

第一種：uname -a

第二種：cat /proc/version

第三種：cat /etc/redhat-release （僅適用于redhat系統(tǒng)）

這個(gè)顯示的信息是比較準(zhǔn)確的。

第四種：cat /etc/issue

不知道是我系統(tǒng)裝的有問題，還是怎么滴，沒顯示出來

第五種：lsb_release –a

這個(gè)試了好多次，也不行，看來真是我裝的有問題了………

好了，不計(jì)較這個(gè)問題了。

2、 安裝syslog服務(wù)

通常情況下，linux服務(wù)器可以通過rsyslog來實(shí)現(xiàn)syslog服務(wù)，在Centos6以后，rsyslog都已經(jīng)預(yù)裝到系統(tǒng)中了。可以使用下列命令驗(yàn)證一下。

# rpm –qa | grep rsyslog

# rsyslogd –v

假如你的系統(tǒng)沒有安裝rsyslog，可使用yum –y install rsyslog進(jìn)行安裝，前提是你要配置一個(gè)可用的yum源。

3、 編輯syslog配置

接下來我們編輯一下配置文件，配置文件的路徑是/etc/rsyslog.conf

1) 創(chuàng)建監(jiān)聽

紅線部分的，要去掉#注釋，其中$UDPServerRun 514表示監(jiān)聽UDP514端口，$inputTCPServerRun 514表示監(jiān)聽TCP514端口。

2) 創(chuàng)建日志模板

有人說要在GLOBAL DIRECTIVE后面加，我就加在監(jiān)聽后面，也可以使用。這里不深究了。$template是模板。RemoteHost是描述，可以修改。/log是日志保存的路徑。%FROMHOST-IP%-%$YEAR%%$MONTH%%$DAY%.log表示日志名稱以設(shè)備的IP地址開始，后面加上年月日，例如：127.0.0.1-20190901.log。

3) 編輯工作路徑

為了方便查看，我把所有的日志都改到/log目錄下了。

配置編輯完成，保存。

配置編輯完了，先不忙著啟動(dòng)服務(wù)。因?yàn)檫@個(gè)時(shí)候啟動(dòng)服務(wù)，會(huì)被本地防火墻攔截。我們先整理一下運(yùn)行的環(huán)境。

4、 整理運(yùn)行環(huán)境

1) 檢查防火墻狀態(tài)

因?yàn)槭荂entos7所以得用systemctl來查看

默認(rèn)是開啟的，我們通過systemctl將它關(guān)閉并且停止它運(yùn)行

2) 關(guān)閉SELinux

編輯vim /etc/selinux/conifg

將SELinux設(shè)置為disabled

3) 將rsyslog設(shè)置為開機(jī)自啟動(dòng)

5、 啟動(dòng)rsyslog服務(wù)

6、 檢查rsyslog服務(wù)狀態(tài)

主要查看TCP和UDP的514端口

7、 測(cè)試查看日志

查看日志之前，我們要先選一臺(tái)或多臺(tái)設(shè)備，將日志服務(wù)器修改為你創(chuàng)建的這臺(tái)syslog服務(wù)器。這里就不示意設(shè)備端配置了。我們只查看日志。

這里我只添加了一臺(tái)設(shè)備，先來看一下這臺(tái)防火墻的日志，IP地址掩去了……

看日志的時(shí)候呢，我們要用tail -f xxx.xxx.xxx.xxx-20190926.log來查看，否則日志變更不全自動(dòng)更新的哦！

日志里關(guān)鍵信息掩去了，這里可以看到很多關(guān)于設(shè)備的日志信息，同時(shí)還包括防火墻拒絕的數(shù)據(jù)包日志信息，對(duì)于網(wǎng)絡(luò)維護(hù)很有益處。希望能幫到大家。