实验介绍

本实验旨在实现主机将日志远程发送到堡垒机或远程服务器上，实现通过一台机器管理整个网络内的主机的效果。

准备两台虚拟机作为生产主机和管理机，保证网络通畅，展示如下：

关闭firewalld，通过配置rsyslog，使得生产主机上关于ssh连接的日志发送到管理机日志服务器上保存，在管理机上可以查看到生产机上的ssh日志。

实验步骤

编辑/etc/rsyslog.conf文件，生产主机配置：

:msg,contains,"sshd" @192.168.119.128:514

#msg 要发送的消息，规则的消息体
#contains,"sshd" 过滤器，过滤所有跟sshd有关的日志
#@192.168.119.128:514  要发送到日志服务器的地址，其中@表示UDP，@@表示TCP

systemctl restart rsyslog重启服务。

生产主机同样配置/etc/rsyslog.conf文件，

$ModLoad imudp                # 把前面的注释删除        加载imudp模块，启用对UDP网络接口的支持
$UDPServerRun 514            # 把前面的注释删除        用于通信的端口

$ModLoad imtcp                # tcp
$InputTCPServerRun 514        

:msg,contains,"sshd" /var/log/remote_ssh.log        # 任意位置添加规则，

此时使用远程软件连接生产主机，在管理机上即可查看到相应日志信息：

总结

该实验通过修改日志主配置文件rsyslog.conf，生产机将指定协议日志信息的处理规则，设置使用udp发送到管理机，管理机打开对应接口接收消息，实现了日志的远程访问，进而实现使用堡垒机对整个网络的日志监控与管理。