实验介绍
本实验旨在实现主机将日志远程发送到堡垒机或远程服务器上,实现通过一台机器管理整个网络内的主机的效果。
准备两台虚拟机作为生产主机和管理机,保证网络通畅,展示如下:
关闭firewalld,通过配置rsyslog,使得生产主机上关于ssh连接的日志发送到管理机日志服务器上保存,在管理机上可以查看到生产机上的ssh日志。
实验步骤
编辑/etc/rsyslog.conf文件,生产主机配置:
:msg,contains,"sshd" @192.168.119.128:514
#msg 要发送的消息,规则的消息体
#contains,"sshd" 过滤器,过滤所有跟sshd有关的日志
#@192.168.119.128:514 要发送到日志服务器的地址,其中@表示UDP,@@表示TCP
systemctl restart rsyslog重启服务。
生产主机同样配置/etc/rsyslog.conf文件,
$ModLoad imudp # 把前面的注释删除 加载imudp模块,启用对UDP网络接口的支持
$UDPServerRun 514 # 把前面的注释删除 用于通信的端口
$ModLoad imtcp # tcp
$InputTCPServerRun 514
:msg,contains,"sshd" /var/log/remote_ssh.log # 任意位置添加规则,
此时使用远程软件连接生产主机,在管理机上即可查看到相应日志信息:
总结
该实验通过修改日志主配置文件rsyslog.conf,生产机将指定协议日志信息的处理规则,设置使用udp发送到管理机,管理机打开对应接口接收消息,实现了日志的远程访问,进而实现使用堡垒机对整个网络的日志监控与管理。