㈠ java怎麼解析syslog伺服器的日誌
設置定時任務 定時到其他機器去取 比如 ftp 登陸後 get 或者其他機器主動 put到syslog主機就可以了
㈡ 在windows上怎麼用syslog伺服器獲取rsyslog日誌
rsyslog 許可權源;
默認
[root@dr-mysql01 zjzc_log]# ls -ltr zj-frontend0*-access*27
-rw------- 1 root root 322 Sep 27 07:55 zj-frontend02-access.2016-09-27
600
$FileOwner elk
$FileGroup elk
$FileCreateMode 0755
$DirCreateMode 0755
$Umask 0022
修改後:
[root@dr-mysql01 zjzc_log]# ls -ltr zj-frontend0*-access*27
-rwxr-xr-x 1 elk elk 10558 Sep 27 07:58 zj-frontend02-access.2016-09-27
㈢ 如何向syslog伺服器發送日誌
您好,很高興為您解答。
參考一下:http://wenku..com/link?url=OsDiB-_Gmk2cGkEs6bsKQZ2E_
如若滿意,請點擊右側【採納答案】,如若還有問題,請點擊【追問】
希望我的回答對您有所幫助,望採納!
~ O(∩_∩)O~
㈣ 如何使用syslog向伺服器協議
Syslog是一種工業標準的協議,可用來記錄設備的日誌。
Ubuntu下安裝syslog apt-get install inetutils-syslogd
這裡面的三個函數openlog, syslog, closelog是一套系統日誌寫入介面。另外那個vsyslog和syslog功能一樣,只是參數格式不同。
通常,syslog守護進程讀取三種格式的記錄消息。此守護進程在啟動時讀一個配置文件。一般來說,其文件名為/etc/syslog.conf,該文件決定了不同種類的消息應送向何處。例如,緊急消息可被送向系統管理員(若已登錄),並在控制台上顯示,而警告消息則可記錄到一個文件中。該機制提供了 syslog函數,其調用格式如下
#include <syslog.h>
void openlog (char*ident,int option ,int facility);
void syslog(int priority,char*format,……)
void closelog();
調用openlog是可選擇的。如果不調用openlog,則在第一次調用syslog時,自動調用openlog。調用closelog也是可選擇的,它只是關閉被用於與syslog守護進程通信的描述符。調用openlog 使我們可以指定一個ident,以後, 此ident 將被加至每則記錄消息中。ident 一般是程序的名稱(例如 ,cron ,ine 等)
程序的用法示例代碼如下:
#include <syslog.h>
int main(int argc, char **argv)
{
openlog("MyMsgMARK", LOG_CONS | LOG_PID, 0);
syslog(LOG_DEBUG,
"This is a syslog test message generated by program '%s'\n",
argv[0]);
closelog();
return 0;
}
編譯生成可執行程序後,運行一次程序將向/var/log /message文件添加一行信息如下:
Feb 12 08:48:38 localhost MyMsgMARK[7085]: This is a syslog test message generated by program './a.out'
syslog函數及參數
syslog函數用於把日誌消息發給系統程序syslogd去記錄,此函數原型是:
void syslog(int priority, const char *format, ...);
第一個參數是消息的緊急級別,第二個參數是消息的格式,之後是格式對應的參數。就是printf函數一樣使用。
如果我們的程序要使用系統日誌功能,只需要在程序啟動時使用openlog函數來連接 syslogd程序,後面隨時用syslog函數寫日誌就行了。
下面介紹在RedHat和ubuntu中如何配置它:
Ubuntu和紅帽常使用它,並且通過文件/etc/rsyslog.conf進行管理。文件中包含許多指定的特殊系統日誌:有的是控制台方面的,有的是文件方面或其它主機的。
首先,我們需要載入合適的TCP和UDP插件以支持接收系統日誌。把下面的代碼添加到rsyslog.conf的頭部:
$modload imtcp
$modload imudp
$InputTCPServerRun 10514
$UDPServerRun 514
載入的這兩個模塊能支持監聽TCP和UDP的埠,並且指定哪個埠來接受事件,在這種情況下,使用TCP的10514埠和UDP的514埠。你需要確認一下本地防火牆(在你的主機和中央系統日誌伺服器之間的防火牆)
下面我們需要指定一些規則來告訴rSyslog在哪放輸入事件。如果你不添加任何規則,輸入事件將按照本地的規則進行處理,並且與本地主機的事件交織在一起。我們需要在上面添加節之後和本地處理系統日誌之前來正確的指定這個規則,例如:
if $fromhost-ip isequal '192.168.0.2' then /var/log/192.168.0.2.log
& ~
這里我們說的每一個來自於192.168.0.2的系統日誌都應該保存在/var/log/192.168.0.2.log文件中。&~這個符號是非常重要的,因為它告訴rSyslog將停止處理消息。如果你把它忘寫了,消息將越過下一個規則,並且繼續處理。在這一規則中還有其他的變數。例如:
if $fromhost-ip startswith '192.168.' then /var/log/192.168.log
& ~
這里我們用192.168.*替代了以這個為開始的所有IP地址,寫入到/var/log/192.168.log文件中。你還可以看到一些其它的過濾。
你將需要重啟這個rsyslog服務來激活我們所做的新的配置:
$ sudo service rsyslog restart
現在,對於發送方的主機,我們還需要對文件rsyslog.conf進行一些更改,在文件的頭部,添加下面這行:
*.* @@192.168.0.1:10514
這是發送的所有事件,來自於所有源代碼和所有重要級別(用*.*),通過TCP協議傳給IP地址為192.168.0.1的10514埠。你可是用你所在環境的地址來替換這個IP地址。要啟用此配置,你將需要重啟主機上的rSyslog。
你可以通過SSL/TLS更進一步地發送你的系統日誌。如果你在互聯網上或其它網路間傳輸系統日誌,這也沒什麼壞處,你可能會發現這個的簡單說明。
現在,如果給你的配置管理系統(如果不使用這個,你可以試一試Puppet或Cfengine工具)添加這個配置,然後,您可以用適當的系統日誌來有效地配置每台主機,以確保你的日誌將被發送到中央系統日誌伺服器。
㈤ 如何搭建syslog日誌伺服器
首先我們知道日誌是什麼,日誌毫無疑問就跟我們寫日記一樣記錄我們每天做的一些事情,那麼日誌對於一台伺服器而言是至關重要的,比如說我們搭建服務的時候,服務起不來也沒提示錯誤信息,那麼這個時候就可以查看日誌來排錯了,還記錄了伺服器的運行情況已經入侵記錄等等... ,那麼我們知道一台伺服器的日誌默認是存放在本地的對於linux而言日誌一般存放於/var/log/目錄下,比如說某系統管理員管理著幾十甚至上百台伺服器的時候,默認日誌放在每台伺服器的本地,當我們每天要去看日誌的時候一台一台的看日誌是不是要郁悶死了. 沒關系在linux系統上提供了一個syslogd這樣的一個服務為我們提供日誌伺服器,他可以將多台主機和網路設備等等的日誌存到日誌伺服器上,這樣就大大減少了管理員的工作量,下面將在一台默認裝有rhel5.x的系統上搭建一台日誌伺服器.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
系統環境:默認安裝有rhel5.8的系統
主機 角色 IP地址
server1 日誌伺服器 10.0.0.1
server2 10.0.0.2
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
實際上日誌伺服器的配置非常之簡單幾條命令就搞定了
一.配置日誌伺服器為網路中其他主機及其網路設備等等提供日誌存儲服務,也就是配置server1
1. 在server1上編輯/etc/sysconfig/syslog文件修改如下
#vim /etc/sysconfig/syslog ## 只修改SYSLOGD_OPTINOS這項,如下
SYSLOGD_OPTIONS="-m 0 -r"
2 .重新啟動syslog
#service syslog restart
3.配置防火牆,syslog傳送日誌的埠是UDP的514埠防火牆在默認的情況下是阻止所有的,這里就 直接把防火牆關閉了,防火牆的配置就不介紹了
#service iptables stop
#chkconfig iptables off
ok!到這里伺服器的配置基本就結束了.
二.配置server2讓其將日誌發送到日誌伺服器上去,我們知道windows跟交換機路由器都是有日誌產 生的,它們的日誌也是可以存儲到日誌伺服器上去的,這里就只介紹linux主機的
1.配置server2上的/etc/syslog.conf定義日誌的類型以及日誌的級別和日誌存放的位置,這里就只簡 單的介紹下大體的配置思路,
#vim /etc/syslog.conf
*.* @10.0.0.1
上面的配置表示所有的日誌類型.所有的日誌的級別的日誌都將存放在10.0.0.1這台日誌伺服器上
2,重啟syslog
#service syslog restart
三.驗證
1.在server2上建一個redhat的用戶,然後到server1上的/var/log/secure文件或者/var/log/messages文件 查看日誌
#cat /var/log/secure
Jun 8 00:58:05 10.0.0.2 useradd[15463]: new group: name=redhat, GID=500
Jun 8 00:58:05 10.0.0.2 useradd[15463]: new user: name=redhat, UID=500, GID=500, home=/home/redhat, shell=/bin/bash
可以看到10.0.0.2這台主機new了一個redhat的用戶
㈥ 如何在windows伺服器中使用syslog功能
無論是Unix、Linux、FreeBSD、Ubuntu,還是路由器、交換機,都會產生大量的日誌,而這些,一般會以syslog的形式存在。在RFC 3164中定義了syslog是一種日誌協議,syslog數據包的大小為1024位元組,包含Facility, Severity, Hostname, Timestamp和Message信息。syslog伺服器默認使用UDP 514號埠。簡單的說,syslog可以告訴管理員:誰(Facility),什麼時間(Timestamp),什麼地方(Hostname)做了什麼事情(Message),以及這個事情的重要性(Severity)。
Syslog中的Facility就是誰,它可以是操作系統的內核,郵件服務,Web伺服器,列印機等等。RFC 3164 定義用數字來表示不同的Facility,其中16-18可為自定義的(比如Cisco就用local4發送PIX防火牆的syslog,用local7發送3000VPN集中器的syslog),具體如下:
Integer Facility
0 Kernel messages
1 User-level messages
2 Mail system
3 System daemons
4 Security/authorization messages
5 Messages generated internally by Syslogd
6 Line printer subsystem
7 Network news subsystem
8 UUCP subsystem
9 Clock daemon
10 Security/authorization messages
11 FTP daemon
12 NTP subsystem
13 Log audit
14 Log alert
15 Clock daemon
16 Local use 0 (local0)
17 Local use 1 (local1)
18 Local use 2 (local2)
19 Local use 3 (local3)
20 Local use 4 (local4)
21 Local use 5 (local5)
22 Local use 6 (local6)
23 Local use 7 (local7)
Syslog中的Severity表示事情的重要性,具體如下。
Integer Severity
0 Emergency: System is unusable.
1 Alert: Action must be taken immediately.
2 Critical: Critical conditions.
3 Error: Error conditions.
4 Warning: Warning conditions.
5 Notice: Normal but significant condition.
6 Informational: Informational messages.
7 Debug: Debug-level messages.
Windows有自己的日誌協議,稱為Event Log。為什麼不建立一台中心Syslog伺服器來接受所有的Windows,Linux,網路設備等等發送來的日誌呢?這樣你可以輕松地在一台日誌伺服器上管理所有的日誌。
Windows操作系統本身是可以產生很多日誌的,如每次插拔U盤、服務的重啟等,都會產生日誌,這些信息會記錄在操作系統中,如果我們想集中管理,怎麼辦?Windows操作系統本身並不支持把日誌發送到SYSLOG伺服器去,但是我們就沒辦法了?
Evtsys是用C寫的程序,提供發送Windows日誌到syslog伺服器的一種方式。它支持Windows Vista和Server 2008,並且編譯後支持32和64位環境。它被設計用於高負載的伺服器,Evtsys快速、輕量、高效率。並可以作為Windows服務存在。
http://code.google.com/p/eventlog-to-syslog/ 查看並獲取最新更新。值得稱道的是,程序僅僅有幾十KB大小!
下載Evtsys後,將其復制到系統目錄,XP下是Windows\system32目錄。然後在CMD下執行:
evtsys.exe -i -h 192.168.1.101 -p 514
這個是標准格式,亦可精簡為:
evtsys -i -h 192.168.1.101
參數說明:
i是安裝成Window服務;
h是syslog伺服器地址;
p是syslog伺服器的接收埠。
默認下,埠可以省略,默認是514.
啟動Evtsys服務,命令是:
net start evtsys
查看Windows的「服務」,發現在原本Event Log服務下面增加了一個「Eventlog to Syslog」,並且已經啟動.
打開windows組策略編輯器 (開始->運行 輸入 gpedit.msc)
在windows設置-> 安全設置 -> 本地策略 ->審核策略 中,打開你需要記錄的windows日誌。evtsys會實時的判斷是否有新的windows日誌產生,然後把新產生的日誌轉換成syslogd可識別的格式,通過UDP 3072埠發送給syslogd伺服器。
另外一個工具是SNARE,SNARE for Windows是一款讓你很容易的把Windows(NT/2000/XP/2003等,亦支持64位系統)事件日誌實時轉發到SYSLOG伺服器的程序,並且無論是32位還是64位系統,只有一個安裝包,也可以配置靜默安裝模式,當然這個需要您自己去看文檔了。
SNARE支持安全日誌、應用日誌、系統日誌,同時支持DNS、文件復制服務、活動目錄(Active Directory)日誌等。
下載: http://sourceforge.net/projects/snare/files/Snare%20for%20Windows/
配置: 下載下來的文件是SnareForWindows-4.x.x.x-MultiArch.exe這樣的,基本上只需要Next就可以安裝完畢。然後開始菜單中InterSect Alliance下面有三個子項:
Disable Remote Access to Snare for Windows:禁止Snare的遠程管理
Restore Remote Access to Snare for Windows:恢復Snare的遠程管理
Snare for Windows:程序配置界面,選擇後在瀏覽器打開http://localhost:6161/地址,然後選擇左側菜單的Network Configuration選項
Free WhatsUp Syslog Server – 免費 Syslog Server 何處尋? 在這里!!
Syslog daemon for Windows Eventlog
㈦ 如何使用postman對syslog協議介面測試
postman僅支持http協議,不支持這個協議,可以考慮使用jmeter。jmeter支持的協議多,也可以自己擴展。
㈧ linux下如何發送syslog到相應的伺服器
修改syslog對應的配置文件 /etc/syslog.conf 或者 /etc/rsyslog.conf
可以根據syslog配置文件模板內部的提示,修改日誌指向外部伺服器。
啟動syslog服務進程。
㈨ 路由器上的「Syslog伺服器」是干什麼的,有什麼用處
日誌伺服器。
日誌就是記錄我們做過的一些操作。
比如你敲入介面UP 或DOWN的命令,就會出現一條日誌。提示介面打開或關閉。
我們一般用LOGGING SYN來同步命令和日誌。
㈩ 如何將Linux主機設置成syslog伺服器
鳥哥在書中介紹了這樣的一種環境。 辦公室內有10台Linux主機,每一台負責一個網路服務。為了無需登錄每台主機去查看登錄文件,需要設置一台syslog伺服器,其他主機的登錄文件都發給它。這樣做的話,只需要登錄到syslog伺服器上就能查看所有主機的登錄文件。 RedHat上的設置方法,鳥哥已經介紹了。 【伺服器端】step 1:查看伺服器是否開啟了UDP 514埠 grep '514' /etc/services step 2:修改syslogd的啟動設置文件/etc/sysconfig/syslog 將SYSLOGD_OPTIONS="-m 0"修改成SYSLOGD_OPTIONS="-m 0 -r" step 3:重啟syslogd服務 /etc/init.d/syslog restart 重啟後,你會發現UDP 514埠已經打開。 Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
udp 0 0 0.0.0.0:514 0.0.0.0:* 5628/syslogd 【客戶端】step 1:在/etc/syslog.conf中,添加下行。 user.* @192.168.0.Y # syslog伺服器的IP地址 在Ubuntu中配置syslogd伺服器的方法類似。 step 1:查看伺服器是否開啟了UDP 514埠,有下面一行說明埠514被打開,沒有需要加入 # grep '514' /etc/services 184:shell 514/tcp cmd # no passwords used
185:syslog 514/udp step 2: 修改/etc/init.d/sysklogd,將SYSLOGD=""修改成SYSLOGD=" -r" step 3: 修改/etc/default/syslogd,將SYSLOGD=""修改成SYSLOGD=" -r" step 4: 重啟服務 /etc/init.d/sysklogd restart step 5: 驗證 在/var/log/messages中找到 May 1 23:31:59 flagonxia-desktop syslogd 1.5.0#5ubuntu3: restart (remote reception) # netstat -tlunp 得到syslogd服務正在監聽埠514 udp 0 0 0.0.0.0:514 0.0.0.0:* 3912/syslogd step 6: 假設syslog伺服器的IP地址:192.168.1.25,在其他主機上的/etc/syslog.conf中加入 *.* @192.168.1.25 註:/etc/syslog.conf文件的解析日誌文件按/etc/syslog.conf 配置文件中的描述進行組織。下圖是/etc/syslog.conf 文件的內容:[root@localhost ~]# cat /etc/syslog.conf
# Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.* /dev/console
# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none /var/log/messages
# The authpriv file has restricted access.
authpriv.* /var/log/secure
# Log all the mail messages in one place.
mail.* -/var/log/maillog
# Log cron stuff
cron.* /var/log/cron
# Everybody gets emergency messages
*.emerg *# Save news errors of level crit and higher in a special file.
uucp,news.crit /var/log/spooler
# Save boot messages also to boot.log
local7.* /var/log/boot.log
syslog.conf 行的基本語法是: [ 消息類型][ 處理方案] 注意:中間的分隔符必須是Tab 字元!消息類型是由" 消息來源" 和" 緊急程度" 構成,中間用點號連接。例如上圖中,news.crit 表示來自news 的「 關鍵」 狀況。在這里,news是消息來源,crit 代表關鍵狀況。通配符* 可以代表一切消息來源。 說明:第一條語句*.info ,將info 級以上(notice,warning,err,crit,alert 與emerg )的所有消息發送到相應日誌文件。日誌文件類別(按重要程度分類)日誌文件可以分成八大類,下面按重要性從大到下列出:emerg emergency ,緊急alert 警報crit critical ,關鍵errerror ,錯誤warning 警告notice 通知info 信息debug 調試簡單列一下消息來源auth 認證系統,如login 或su ,即詢問用戶名和口令cron 系統執行定時任務時發出的信息daemon 某些系統的守護程序的 syslog ,如由in.ftpd 產生的log
kern 內核的信息lpr 列印機的信息mail 處理郵件的守護進程發出的信息mark 定時發送消息的時標程序news 新聞組的守護進程的信息user 本地用戶的應用程序的信息uucp uucp 子系統的信息* 表示所有可能的信息來源處理方案" 處理方案" 選項可以對日誌進行處理。可以把它存入硬碟,轉發到另一台機器或顯示在管理員的終端上。處理方案一覽:文件名 寫入某個文件,要注意絕對路徑。 @ 主機名 轉發給另外一台主機的syslogd 程序。@IP 地址 同上,只是用IP 地址標識而已。/dev/console 發送到本地機器屏幕上。* 發送到所有用戶的終端上。 | 程序 通過管道轉發給某個程序。例如:kern.emerg /dev/console( 一旦發生內核的緊急狀況,立刻把信息顯示在控制台上) 說明: 如果想修改syslogd 的記錄文件,首先你必須殺掉syslogd 進程,在修改完畢後再啟動syslogd 。攻擊者進入系統後通常立刻修改系統日誌,因此作為網管你應該用一台機器專門處理日誌信息,其他機器的日誌自動轉發到它上面,這樣日誌信息一旦產生就立刻被轉移,這樣就可以正確記錄攻擊者的行為。