前天安排了一個任務,要在一台伺服器上搭建日志伺服器,作用是記錄本網段所有伺服器的日志,我們這個網段包括WWW、DNS、Mail、計費、Video、電子政務等十幾台伺服器,系統包括Windows2000、Windows2003、Linux9、AS4和Solaris。因為以前根本沒有這方面的經驗和資料,自然而然想到了在網上搜羅一下,可能是這方面的應用不是太廣吧,找來找去,隻找到了一篇比較對路的資料,就是這篇“集中管理伺服器日志”。全文如下:
----------------------------------------------------------------------------------------------------------------------
1 建立日志伺服器,用來接收用戶端發送來的日志,采用Linux系統預設的syslog程式
配置syslog程式,使其能夠接收其他伺服器發來的日志。
為了将日志按伺服器ip分類,可以将syslogd程式配置如下,需要修改一下/etc/syslog.conf檔案:
authpriv.* |/var/log/servers/server_login.sh
這表示把系統的登入登出日志(包括本機系統登陸登出日志)存放到/var/log/servers檔案夾下。在記錄目标前面加上“|”表示把接收到的資訊交給後面的程式處理,這個程式可以是一個專門的日志處理軟體,也可以是一個自己編寫的小的腳本,舉例:
#!/bin/sh
read stuff
SERVER=`echo $stuff |awk ‘{print $4}’`
echo $stuff >> /var/log/login_log/$SERVER.log
這個簡單的腳本以IP作為分類依據,先用read讀取log資訊,用awk取出第四字段(即IP位址或者主機名所在的字段),以該字段為檔案名存放該主機的日志。這樣一來,來自192.168.1.1的log會記錄到192.168.1.1.log檔案中,來自192.168.1.2的log會被記錄在192.168.1.2.log檔案中,分析和歸類就比較友善了。甚至把log資訊分類後插入資料庫中,這樣日志的管理和分析就更友善了。
2 配置linux用戶端,發送其日志到日志伺服器。
3 配置windows伺服器,使其發送日志到日志伺服器。需要安裝一個第三方軟體,名字叫eventsys,用于轉發日志到linux系統的syslog日志服務程式。下載下傳位址為:
解壓後是兩個檔案evtsys.dll和evtsys.exe ,把這兩個檔案拷貝到 c:/windows/system32目錄下。
打開Windows指令提示符(開始->運作 輸入CMD)
C:/>evtsys –i –h 192.168.0.2
-i 表示安裝成系統服務
-h 指定log伺服器的IP位址
打開windows組政策編輯器 (開始->運作 輸入 gpedit.msc),在windows設定-> 安全設定 -> 本地政策 ->稽核政策 中,打開你需要記錄的windows日志。evtsys會實時的判斷是否有新的windows日志産生,然後把新産生的日志轉換成syslogd可識别的格式,通過UDP 3072端口發送給syslogd伺服器。
所不同的是evtsys是以daemon裝置的方式發送給 syslogd log資訊的。
是以,需要在/etc/syslog.conf中加入:
daemon.notice |/var/log/server_login.sh
看完此文後,心裡大概有了一個譜了,知道該怎樣操作了,可是還有一些細節性的問題需要搞清楚:
1:第一步關于建立日志伺服器講得不是很清楚,後面四行編寫的腳本是不是就是前面的程式server_login.sh?然後這一步是不是僅僅就寫一個腳本和改動一下syslog.conf檔案就可以了?總覺得沒有這麼簡單。
2:第二步講的更不清楚,如何配置Linux用戶端,使其發送其日志到日志伺服器?另外我們的很多伺服器采用的是Linux AS4系統,日志伺服器如果安裝的版本與它不同或者說低于它(如Redhat Linux9),能否同樣完成日志的傳送?
3:第三步配置Windows用戶端有一個問題,就是Windows用戶端記錄系統日志使用的是系統自帶的Eventvwr.msc元件,此元件記錄的日志分為三部分:應用程式日志、系統日志和安全性日志,那麼在發送日志到日志伺服器的時候,是不是将三部分統統發送?
4:很多專有系統有自己自帶的日志記錄工具,如:計費伺服器和郵件伺服器,那麼這部分的日志能不能夠被記錄到日志伺服器?如果能,又該如何操作?
5:最後一個問題是,有沒有一款基于Windows系統的搭建日志伺服器的軟體?當然,它能夠跨系統接收Linux、Solaris和FreeBSD等OS發送的日志。
From:網絡
![Mac|Windows系統本地照片自動上傳到伺服器[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)