系统日志是从 Linux/Unix 设备和其他网络设备(如交换机、路由器和防火墙)生成的日志 可以通过将 syslog 聚合到称为 syslog 服务器、syslog 守护程序或 syslogd 的服务器来集中 syslog。在TCP、UDP和RELP协议的帮助下,系统日志从设备传输到系统日志守护程序。
用户数据报协议(UDP)
UDP 是一种无连接且不可靠的协议,因此,发送到 syslog 守护程序的 syslog 消息不会返回任何回执确认,默认情况下,通过 UDP 协议的 syslog 传输通过端口 514 进行。但是,用户始终可以更改此端口号。
通常不建议使用 UDP 进行传输,因为 syslog 服务器可能无法正确接收 syslog 数据包,并且可能会丢失重要信息。
您必须将服务器配置为充当 syslog 守护程序,方法是使其能够侦听 UDP 端口 514。
- 在终端中打开 etc/syslog.conf 文件。
- 识别以下语句并取消注释。
$ModLoad imudp
$UDPServerRun 514
- 重新启动计算机并检查是否应用了更改。
传输控制协议(TCP)
TCP 是一种面向连接的可靠传输协议,可以使用相同的端口 514 将 syslog 消息发送到 syslog 守护程序。默认情况下,TCP 用于 rsyslog 和 syslog-ng 等 syslog 收集工具中的数据传输。syslogd 会为收到的每条系统日志消息发送确认。这可确保所有 sysog 消息都存储在单个存储库中。
您可以使用以下命令将服务器配置为充当 syslog 守护程序,并使其能够侦听 TCP 端口 514。
- 在终端中打开 etc/syslog.conf 文件。
- 识别以下语句并取消注释。
$ModLoad imudp
$UDPServerRun 514
- 重新启动计算机并检查是否应用了更改。
可靠事件日志记录协议(RELP)
RELP 最初是为 rsyslog-rsyslog 通信而开发的,它是一种网络协议,有助于将事件消息可靠地传输到目的地。RELP 使用 TCP 传输系统日志。但是,它提供了使用反向通道识别在 syslog 守护程序上正确接收的消息的附加功能。反向通道可以查看从设备发送的系统日志消息,并同时在接收端监听它们。
如果在 syslog 传输期间突然终止连接,则 RELP 将解决 syslog 服务器是否接收到正在传输的消息的歧义,它将有关系统日志服务器处理的系统日志的消息传达给发件人。
监控系统日志
系统日志包含有关网络中发生的事件的重要信息,将系统日志安全地传输到一个集中位置并对其进行分析,可以更轻松地对关键事件进行故障排除。虽然可以使用 grep 和其他命令手动分析系统日志,但这是一个耗时且累人的过程。EventLog Analyzer等自动化日志管理解决方案可以收集、解析和分析来自网络中设备的系统日志。
EventLog Analyzer 还可以将这些系统日志与其余网络日志相关联,并实时识别安全事件和威胁,该解决方案提供预定义的报告和警报配置文件,可帮助管理员进行安全审核和合规性管理。