日志对于安全来说,非常重要,他记录了系统每天发生的各种各样的事情,你可以通过他来检查错误发生的原因,或者受到攻击时攻击者留下的痕迹。日志主要的功能有:审计和监测。他还可以实时的监测系统状态,监测和追踪侵入者等等。
一、日志服务器的搭建
分析rsyslo*生的日志的简单过程:
一、把日志记入mysql数据库
二、使用loganalyzer分析数据库信息;
1、安装rsyslog
[root@station34 ~]# # yum -y install httpd php mysql mysql-devel php-mysql
已经安装的话就不要安装了
[root@station34 ~]# # yum -y install rsyslog rsyslog-mysql
注:rsyslog-mysql为rsyslog将日志传送到mysql数据库的一个模块,这里必须安装
2、导入数据库文件
[root@station34 ~]# cd /usr/share/doc/rsyslog-mysql-5.8.10/ [root@station34 rsyslog-mysql-5.8.10]# mysql -uroot -padmin < createDB.sql
注:如果数据库设置了密码就要采用-u -p的方式来登陆实现对createDB.sql文件的导入
createDB.sql的作用就是创建了Syslog库并在该库中创建了两张空表SystemEvents和SystemEventsProperties
给用户授权:
mysql> grant all on Syslog.* to ‘cw‘@‘localhost‘ identified by ‘admin‘; mysql> flush privileges;
3、配置/etc/rsyslog.conf
配置服务端支持rsyslog-mysql模块,并开启UDP服务端口获取网内其他LINUX系统日志
[root@station34 ~]# vim /etc/rsyslog.conf
注:$ModLoad ommmysql 必须定义在Module一段中;
添加此语句
*.* :ommysql:localhost,Syslog,cw,admin
注:localhost表示本地主机,Syslog为数据库名,cw为数据库的用户,admin为该用户密码
4、安装loganalyzer
[root@station34 ~]# tar xf loganalyzer-3.6.4.tar.gz [root@station34 ~]# cd loganalyzer-3.6.4 [root@station34 loganalyzer-3.6.4]# mv src/* /www/a/syslog/ [root@station34 loganalyzer-3.6.4]# mv contrib/* /www/a/syslog/ [root@station34 loganalyzer-3.6.4]# chmod u+x /www/a/syslog/*.sh [root@station34 syslog]#./configure.sh [root@station34 syslog]# ./secure.sh [root@station34 syslog]# chmod 666 config.php [root@station34 syslog]# chown -R daemon.daemon *
注:/www/a为我的虚拟主机的站点目录,syslog目录没有则自己创建
在浏览器输入网址,进入安装向导
http://www.a.com/syslog
1.提示没有配置文件,点击here利用向导生成
注:数据库设置页面里的信息根据自己情况设置
配置成功界面,可以收到日志数据。
至此,日志服务器已经配置成功,可以通过此服务来分析日志了!