文/虞國全

RSYSLOG日志服務(wù)器的搭建

文/虞國全

服務(wù)器被黑，日志被刪除，讓我們?cè)诎l(fā)生安全事件后查找原因時(shí)很難入手。日志作為一個(gè)重要的切入點(diǎn)，如果不能保證其完整性以及正確性，無疑將對(duì)分析安全事件加大了難度。因此，搭建一套完整的日志系統(tǒng)是非常必要的。同時(shí)，還要養(yǎng)成每天查看日志、檢查異常的良好習(xí)慣。

利用開源軟件rsyslog在Linux操作系統(tǒng)上進(jìn)行安裝調(diào)試。大致的步驟如下：

1.下載并安裝最新版本的 rsyslog。目前最新的版本是rsyslog 6.1.7 (v6-devel) released，下載地址：http://www.rsyslog.com/rsyslog-6-1-7-v6-devel/

2.安裝

（1）把源代碼解壓，并進(jìn)入源代碼中執(zhí)行：

(2)依次執(zhí)行：make和make install

3.配置rsyslog.conf

在源代碼下有一個(gè)示例文件，把它拷貝到/etc

（1）接受遠(yuǎn)程設(shè)備的syslog則要把以下三行的#去掉：

并同時(shí)在iptables中開放514端口

（2）配置rsyslog自動(dòng)啟動(dòng)

(3)記錄到mysql

如果要使用sql來記錄日志則先要建表，找到rsyslog-3.20.0pluginsommysql下的createDB.sql文件，打開它， 把里面的建表語句在數(shù)據(jù)庫里執(zhí)行，當(dāng)然也可以自建一個(gè)新數(shù)據(jù)庫。之后加載mysql模塊，一定要確認(rèn)ommysql.so在lib文件夾里存在，如果之前使用./configure --enable-mysql進(jìn)行配置則會(huì)在/usr/local/lib/rsyslog下存在ommysql.so文件（操作系統(tǒng)不同，目錄可能不一 樣）,然后在rsyslog.conf文件中加上：

注意這里是local4來接受遠(yuǎn)程的syslog

在交換機(jī)上的配置：

1.華為

2.思科

到mysql服務(wù)器查看：

但這里還有個(gè)小Bug，我們會(huì)發(fā)現(xiàn)fromhost的這個(gè)字段不正確，并不是所用交換機(jī)的地址，這是rsyslog的一個(gè)bug，那么如何解決？可以自定義模板，不用其默認(rèn)的模板。定義一個(gè)模板:MySQLInsert并用它來執(zhí)行sql語句，關(guān)于模板的概念，請(qǐng)參考這里有詳細(xì)的解釋

參考rsyslog.conf:

注意筆者使用了%f r o m h o s t-i p%，而不是%HOSTNAME%。

當(dāng)然針對(duì)Liunx服務(wù)器，把syslog發(fā)送過來就可以了，具體的配置就不詳細(xì)說明。這里還需要提到的是Windows操作系統(tǒng)，需要安裝一個(gè)客戶端軟件NTSyslog2.msi。

配置rsyslog服務(wù)器地址如圖1所示。

圖1 配置rsyslog服務(wù)器地址

一個(gè)完整的搭建rsyslog服務(wù)器以及相應(yīng)的設(shè)備配置就完成了。

(作者單位為南昌理工學(xué)院英雄校區(qū)計(jì)算機(jī)系)