Linux下架構日志服務器

 　　一：原理：

　　日志對於系統的安全來說非常重要，它記錄了系統每天發生的各種各樣的事情，用戶可以通過它來檢查錯誤發生的原因，或者尋找受到攻擊時

　　攻擊者留下的痕跡。日志主要的功能是審計和監測。它還可以實時地監測系統狀態，監測和追蹤侵入者。日志也是用戶應該注意的地方之一。

　　不要低估日志文件對網絡安全的重要作用，因為日志文件能夠詳細記錄系統每天發生的各種各樣的事件。用戶可以通過日志文件檢查錯誤產生

　　的原因，或者在受到攻擊和黑客入侵時追蹤攻擊者的蹤跡。日志的兩個比較重要的作用是：審核和監測。配置好的Linux的日志非常強大。對

　　於Linux系統而言，所有的日志文件都在/var/log下。如果有多台服務器的日志需要管理，那麼就需要架構日志服務器，方便管理多台服務器日志。

　　二：

　　案例一：使用Windows作為日志服務器，linux作為應用服務器。(本例中用dhcp服務器作為日志說明，windows server 2003作

　　為獲得dhcp地址的測試機。說明：Windows上使用第三方軟件kiwi syslog7.2)

　　1：首先將第三方軟件kiwi syslog7.2在windows主機上安裝

　　2：[root@lyt ~]# vim /etc/syslog.conf　　　　　　　　 #編輯Linux主機/etc/syslog.conf文件，如圖：

　　3：[root@lyt ~]# mkdir /mnt/cdrom　　 #創建掛載點

　　[root@lyt ~]# mount /dev/cdrom /mnt/cdrom/　 #將光盤掛載至/mnt/cdrom

　　[root@lyt ~]# cd /mnt/cdrom/Server/　　　 #切換至該目錄，安裝dhcp服務器

　　4：[root@lyt Server]# vim /etc/dhcpd.conf　　 #編輯dhcp服務器腳本

　　然後按下enter，配置dhcpd.conf，如圖：

　　5：[root@lyt Server]# service dhcpd restart　　　 #重啟dhcp服務器

　　6：測試

　　windows server 2003 已經得到ip地址，如圖：

　　windows主機上的日志服務器顯示如下：

　　案例二：使用Linux1主機作為日志服務器，在Linux2主機架構dhcp服務器作為測試日志，windows server 2003作為dhcp獲得地址的測試機

　　1：首先為Linux2主機分配靜態ip地址

　　2：[root@lyt ~]# service network restart　　 #重啟network服務

　　3：為Linux1主機分配靜態ip地址

　　4：[root@lyt ~]# service network restart　　 #重啟network服務

　　[root@localhost ~]# vim /etc/sysconfig/syslog　　 #編輯該文件

　　5：[root@localhost ~]# tail -f /var/log/messages　　 #在Linux1主機上動態查看日志變化，-f表示動態

　　6：測試：

　　windows server 2003 獲得了ip地址如下：

　　Linux主機1的日志變化：