服务器端:< xmlnamespace prefix ="o" ns ="urn:schemas-microsoft-com:office:office" />
1. vi etc/default/rsyslog SYSLOGD_OPTIONS –r
2.修改nano /etc/rsyslog.conf *.* /etc/mylog.log
3.新建touch /etc/mylog.log
4.开启514UDP口
在rsyslog.conf中开启UDP,在防火墙中测试UDP是否开通
5.sudo /etc/init.d/rsyslog restart
客户端
1.修改 nano /etc/ssh/sshd_config loacl2
1.修改 naono /etc/rsyslog.conf *.* @192.168.0.81
2.sudo /etc/init.d/rsyslog resatart
说明:
查看服务器是否开启了UDP 514端口,有下面一行说明端口514被打开,没有需要加入-------------------------------------------------------------------------------------
# grep '514' /etc/services
184:shell 514/tcp cmd # no passwords used
85:syslog 514/udp
定义日志文件
---------------------------------------------------------------------------------------
考虑到日志文件比较多,在 /var/log 下新建 firewall 目录,用于保存日志文件。目录属性 755。
修改 /etc/syslog.conf,在其中增加下面一行:
local7.* -/var/log/firewall/firewall.log
修改ip
-----------------------------------------------------------------------------------
1、ubuntu系统修改IP地址:sudo gedit /etc/network/interfaces
auto eth0
iface eth0 inet static
address 219.218.122.168
netmask 255.255.255.0
gateway 219.218.122.254
2、ubuntu系统修改DNS: sudo gedit /etc/resolv.conf
nameserver 202.194.15.12
3、使网络生效:sudo /etc/init.d/networking restart
Ubuntu8.04虚拟机更换host主机后开机无法加载网卡,提示:No such device
删除缓存文件,重启后解决。
sudo rm /etc/udev/rules.d/70-persistent-net.rules
reboot
syslog消息类型
| 消息类型 | 消息来源 |
| kern | 内核 |
| User | 用户程序 |
| Damon | 系统守护进程 |
| | 电子邮件系统 |
| Auth | 与安全权限相关的命令 |
| Lpr | 打印机 |
| News | 新闻组信息 |
| Uucp | Uucp程序 |
| Cron | 记录当前登录的每个用户信息 |
| wtmp | 一个用户每次登录进入和退出时间的永久记录 |
| Authpriv | 授权信息 |
syslog常用优先级
| 优先级 | 描述 |
| emerg | 最高的紧急程度状态 |
| alert | 紧急状态 |
| Cirt | 重要信息 |
| warning | 警告 |
| err | 临界状态 |
| notice | 出现不寻常的事情 |
| info | 一般性消息 |
| Debug | 调试级信息 |
| None | 不记录任何日志信息 |
如果将要使用一个日志服务器,必须调用syslogd -r。缺省情况下syslogd不接受来自远程系统的信息。当指定-r选项,syslogd将会监听从514端口上进来的UDP包。
如果还希望日志服务器能传送日志信息,可以使用-h标志。缺省时,syslogd将忽略使其从一个远程系统传送日志信息到另一个系统的syslogd。