系统日志客户端

由于每个服务器和设备的情况不一样,我不会过于深入地探讨这方面。系统日志经由UDP端口514来通信,但是我在前面提到,我还为其他设备设置了主系统日志服务器,经由TCP端口1000通信。这让下一代系统日志工具服务器可以监听两个端口:514 UDP用于无法更改其端口的设备,TCP 1000则用于指定了端口号的服务器。为何我设置TCP 1000,而不设置TCP 514?因为Linux使用tcp 514 用于rsh远程外壳),这会导致我及别人)的主机系统出现一些问题。如果你打算面向外界运行下一代系统日志工具假设你已设置了验证,并使用TLS加密),那么设置不常见的TCP端口将是最稳妥的。

1. 针对设备,你要做的就是让设备指向主机名,并确保UDP 514或TCP 1000是目的地。
2. 针对rsyslog客户端,添加下面这一行:
如果是TCP:*.* @@ipaddress:1000
如果是UDP:*.* @ipaddress:514
3. 针对下一代系统日志工具客户端,添加下面这一行:
*New syslog Protocol* syslog(host tranport [options];

*old syslog protocol* destination d_tcp { syslog(ip
("remoteip")
transport("tcp") port(1000) localport(999)}; };

destination d_udp { syslog(ip("remoteip") transport("udp")
port(514)
localport(999)}; };

结论

上面概要介绍了下一代系统日志工具。下一代系统日志工具方面还有许多东西要了解,我只是介绍了基本的方面。你可以在此基础上了解宏指令、更严格的过滤以及对系统日志消息采用基于TLS/证书的加密。如果你把系统日志消息发送到集中式系统日志服务器,并且备份该系统日志服务器,就大可放心:你需要系统消息时,可以安全而轻松地获取这些消息。


共5页: 上一页12345下一页

相关内容