2.2.4 Linux 系统日志管理
文章目录
- 一、试题及考试说明
- 二、操作步骤
- 1. 统一日志记录
- 2. 日志保留策略
- 3. 安全日志同步
一、试题及考试说明
在一个大型企业内部,使用CentOS中的rsyslog作为主要的日志处理工具,负责收集、过滤和转发来自各个系统和应用程序的日志信息。随着业务规模的不断扩大和系统环境的日益复杂,公司对日志管理的效率和安全性提出了更高的要求。希望通过修改配置文件rsyslog.conf和logrotate.conf实现以下任务:
- 统一日志记录:将用户程序产生的error级别日志、邮件系统产生的alert级别日志以及内核产生的debug级别日志统一记录到/var/log/secure文件中,以便于集中管理和分析;
- 日志保留策略:为了合理利用存储资源并满足合规性要求,公司规定日志文件的保留时间不得超过50天,轮转后的旧日志文件将被压缩以节省空间,如果日志文件不存在不会产生错误信息;
- 安全日志同步:为了确保日志数据在传输过程中的完整性和保密性,公司决定采用TCP协议进行日志同步,并将日志实时转发到位于内网中的另一台日志服务器(IP地址为192.168.1.100),以便进行进一步的分析和备份。
二、操作步骤
1. 统一日志记录
修改配置文件/etc/rsyslog.conf文件
将user.error,mail.alert,kern.debug路径都改为/var/log/secure
vim /etc/rsyslog.confuser.error /var/log/securemail.alert /var/log/securekern.debug /var/log/secure
2. 日志保留策略
vim /etc/logrotate.conf // 修改/etc/logrotate.conf配置文件,内容如下/var/log/secure {dailyrotate 50 # 50天compress # 压缩旧日志文件missingok # 如果日志文件丢失,则不报错
}
3. 安全日志同步
vim /etc/rsyslog.conf // 修改/etc/rsyslog.conf配置文件,添加以下内容*.* @@192.168.110.131:514 // 将所有日志转发到日志服务器(考试时注意服务器IP)
$ModLoad imtcp // 启用TCP协议
$InputTCPServerRun 514