日志服务器搭建

配置cisco交换机日志服务器配置Linux的Syslog服务来记录Cisco路由器的日志(基本配置）路由器的配置：interface Ethernet0/0ip address 192.168.1.2 255.255.255.0!logging 192.168.1.1logging facility local0 //配置日志存储的facility ，默认是local7，可以修改为其他，但推荐保存为local开头的facility里logging trap debugging //配置要发送到日志服务器的日志优先级，默认发送到日志服务器的优先级为InfoLinux服务器配置：1、在/var/log目录下新建Cisco.log文件2、在/etc/syslog.conf增加：3、在/etc/sysconfig/syslog文件修改：4、重启注意：Ubantu7.1的syslog文件为/etc/default/syslogdSyslog服务名为sysklogd,重启Syslog服务的命令为：service sysklogd restart附（转）：配置linux syslog日志服务器目前，linux依旧使用syslogd作为日志监控进程，而在主流的linux发行版中依旧使用sysklog 这个比较老的日志服务器套件。

一、配置文件默认的日志服务器就是sysklogd套件：主要的配置文件有两个：/etc/sysconfig/syslog 定义syslog服务启动时可加入的参数/etc/syslog.conf 这个是syslog服务的主要配置文件，根据定义的规则导向日志信息。

二、设置主配置文件/etc/syslog.conf根据如下的格式定义规则：facility.level action设备.优先级动作facility.level 字段也被称为seletor（选择条件），选择条件和动作之间用空格或tab分割开。

Linux服务器搭建日志审计系统在当前信息化社会的背景下，数据安全与合规性成为了企业和组织重要的课题。

为了保证服务器的安全性和数据的完整性，搭建一个高效可靠的日志审计系统势在必行。

本文将介绍如何使用Linux服务器搭建日志审计系统，并提供详细的配置步骤与注意事项。

一、准备工作在正式开始搭建日志审计系统之前，我们需要先进行准备工作。

首先，确保已经安装了最新版本的Linux操作系统，如CentOS、Ubuntu 等。

其次，确保服务器已连接到互联网，并可以正常访问外部网络。

最后，根据实际需求确定所需的审计系统软件和硬件配置。

二、安装必要的软件1. 安装审计系统软件在Linux服务器上安装审计系统软件是搭建日志审计系统的第一步。

根据实际需求选择合适的软件，在终端中使用包管理工具进行安装。

以CentOS系统为例，可以使用以下命令安装"Audit"软件包：sudo yum install audit2. 配置审计规则安装完审计系统软件后，我们需要配置审计规则以实现对目标系统的审计。

在Linux系统中，审计规则存储在"/etc/audit/audit.rules"文件中。

可以使用文本编辑器打开该文件，并根据需要添加或修改规则。

例如，可以使用以下命令打开该文件：sudo vi /etc/audit/audit.rules根据实际需求，可以配置文件访问、系统调用、进程创建等不同类型的审计规则。

配置完成后，保存文件并退出编辑器。

三、配置日志存储与备份配置日志存储与备份是搭建日志审计系统的关键一步。

在Linux系统中，可以通过修改日志存储路径、设置日志文件大小限制和备份策略等方式实现日志存储与备份控制。

1. 修改日志存储路径默认情况下，Linux系统的审计日志存储在"/var/log/audit"目录下。

如果需要修改存储路径，可以使用以下命令编辑"/etc/audit/auditd.conf"配置文件：sudo vi /etc/audit/auditd.conf找到并修改"log_file"参数的值，指定新的存储路径。

服务器集群搭建在当今的数字化时代，对服务器的需求与日俱增。

无论是大型企业，还是小型组织，都需要一个高效、稳定、可扩展的服务器架构来支持其业务运营。

然而，单一的服务器往往无法满足这些需求，因此我们需要搭建服务器集群，以提高服务器的性能、可用性和可扩展性。

一、服务器集群的概念服务器集群是由多台服务器组成的系统，通过负载均衡技术和网络设备将这些服务器整合成一个整体，以提供更高效、更稳定、更可扩展的服务。

当访问请求到来时，负载均衡器将根据预设的规则将请求分配给不同的服务器，从而平衡每台服务器的负载，提高整体性能。

二、搭建服务器集群的步骤1、确定需求在搭建服务器集群之前，我们需要明确我们的需求。

这包括我们需要支持多少用户，需要什么样的性能，需要多少存储空间等等。

这些需求将直接影响我们的服务器集群的设计。

2、选择合适的服务器选择合适的服务器是搭建服务器集群的重要步骤。

我们需要考虑服务器的性能、可用性、可扩展性等因素。

我们还需要考虑服务器的品牌、型号、配置等因素，以确保我们的服务器可以满足我们的需求。

3、安装操作系统和软件在每台服务器上安装相同的操作系统和软件是搭建服务器集群的必要步骤。

这可以确保我们的服务器具有一致的环境，从而避免由于环境差异导致的问题。

4、配置负载均衡器负载均衡器是服务器集群的核心组件之一。

我们需要选择一个适合我们的负载均衡器，并将其配置为根据预设的规则将请求分配给不同的服务器。

5、配置网络设备网络设备是服务器集群的重要组成部分。

我们需要配置网络设备，以确保服务器之间的通信畅通无阻。

这包括配置路由、交换机、防火墙等设备。

6、测试和优化在完成上述步骤后，我们需要进行测试和优化，以确保我们的服务器集群可以正常工作并达到预期的性能。

这包括对服务器进行压力测试、对负载均衡器进行监控和调整等。

三、总结搭建服务器集群是一个复杂的过程，需要考虑多种因素。

然而，通过合理的规划和正确的配置，我们可以构建一个高效、稳定、可扩展的服务器集群，以满足我们的需求并提供优质的服务。

设置 Syslog 日志服务器用来获取交换机日志（Syslog 日志服务器用来获取交换机日志CISCO和H3C交换机的设置）注:配置日志服务器前先检查是否已安装了SYSLOG服务执行 ps -e |grep syslogd 查看进程是否存在没有安装 # apt-get install syslogd 安装,或下载用安装包H3C交换机的设置举例1. 组网需求将系统的日志信息发送到 linux 日志主机；日志主机的IP 地址为 1.2.0.1/16；信息级别高于等于 informational 的日志信息将会发送到日志主机上；日志信息的输出语言为英文，允许输出信息的模块为ARP 和 CMD。

2. 组网图3. 配置步骤(1) 设备上的配置。

# 开启信息中心。

<Sysname> system-view[Sysname] info-center enable# 指定向日志主机输出日志信息的通道为 loghost 通道。

[Sysname] info-center loghost 1.2.0.1 channel loghost# 关闭所有模块日志主机的 log、trap、debug 的状态。

[Sysname] info-center source default channel loghost debug state off log state off trap state off注意：由于系统对各通道允许输出的系统信息的缺省情况不一样，所以配置前必须将所有模块的需求通道（本例为loghost ）上log、trap、debug 状态设为关闭，再根据当前的需求配置输出相应的系统信息。

可以用display channel 命令查看通道的状态。

# 将 IP 地址为 1.2.0.1/16 的主机作为日志主机，设置信息级别为informational，输出语言为英文，允许输出信息的模块为所有模块。

[Sysname] info-center loghost 1.2.0.1 facility local7 language english [Sysname] info-center source default channel loghost log level informational 2) 日志主机上的配置。

2011年11月（上）［摘要］本文论述了搭建集中管理日志服务器的技术及配置，并分析了在H3C 交换机上的应用。

［关键词］日志服务器；交换机；安全搭建集中管理日志服务器技术及应用王春璞卢宁（河北省电力研究院，河北石家庄050021）随着信息网络的互联，无论对企业还是个人都提供了更多更快的信息和造就了更大的商机，同时也为黑客大开方便之门，提供了大量的入侵机会。

黑客攻击变得相当容易，而且通过互联网可以轻而易举的窃取信息、篡改数据和非法攻击，对网络使用者及社会造成的危害和损失日益增加。

同时伴随企业信息化的不断发展和壮大，企业原有的网络变得日益庞大而复杂，面对很多7×24的实时运行的网络设备、主机系统以及各种业务应用系统，对如何通过集中式管理来提高企业网络管理的透明性和安全性提出了挑战。

综合上述两个原因，利用日志服务器记录设备运行信息，强化日志安全审计功能，分析日志信息的特点，抵御黑客攻击，提升IT 部门的服务质量，成为网络管理中很重要的工作。

根据实际工作经验，介绍一种集中管理日志服务器架设的技术及相关应用，为设备的统一管理提供详细的日志数据。

1集中管理日志服务器的搭建集中管理日志服务器可利用Syslog 标准协议实现日志信息的接收。

Syslog 是一种工业标准协议，用来记录设备的行为日志。

Syslog 允许一个设备通过IP 地址，把事件信息传递给该信息的接收者，同时也允许设备（如：路由器、交换机、防火墙、服务器等）向日志服务器发送事件信息。

因此，使用Syslog 协议接收和发送日志信息是搭建集中管理日志服务器简单而有效手段。

集中管理日志服务器是一套软硬件结合的系统。

为了确保日志数据的安全，需要一台专门的服务器来承担，服务器的性能没有特殊要求，具有足够的存储空间即可。

在当前技术条件下，日志服务器的硬件要求比较容易满足，投入并不大。

同时，日志服务器还需要软件系统来完成日志的传输和管理。

在Windows2003下使用3CSyslog 软件作为日志主机软件。

安装过程1、运行Kiwi Syslog 安装包里的Kiwi_Syslog_Server_9.2.1.Eval.setup.exe，弹出安装界面，点击“I agree”2、选择安装模式为“Install Kiwi Syslog Server as a service”，两者的区别是，前者可以在关闭软件主界面后仍然能记录日志，后者只能瞬时记录日志3、选择安装的用户，本地系统账户还是一个管理员的账户4、勾选“Install Kiwi Syslog Web Access”（可以不勾选），因为他提示了此功能只限注册用户使用、5、选择安装的组件6、选择安装的路径7、若第四步中没有勾选安装Kiwi Syslog Web Access，则会提示安装成功，若勾选了，则会提示安装Kiwi Syslog Web Access必备组件的向导，安装过程会自动下载并安装这些组件、8、之后就会弹出Kiwi Syslog Web Access的安装向导过程，也比较简单。

9、在Kiwi Syslog的安装包里还有个工具SolarWinds_LogForwarder_1.1.15_Eval_Setup.exe，安装也比较简单，这里不详细介绍。

配置过程Kiwi Syslog Server的各种详细配置主要在file-setup里面。

我们主要介绍2个方面的配置1、log文件的存放路径，点击Rules-Actions-Log to file，这里我们就可以设置存放的位置以及存放的格式2、配置计划任务，点击Rules-Shedules-Add new scheduleSchedule字段添加日志计划频率（按小时算、每6个小时记录一次，一天记录4次）Source字段（设置临时存储日志的路径）Destination字段（设置最终日志存储目录）实例测试Windows环境（亲测）把这两个文件拷贝到c:\windows\system32目录下。

打开Windows命令提示符（开始－>运行输入CMD）C:\>evtsys –i –h 192.168.10.100-i 表示安装成系统服务-h 指定log服务器的IP地址如果要卸载evtsys,则：net stop evtsysevtsys -u启动该服务:C:\>net start evtsys打开windows组策略编辑器(开始->运行输入gpedit.msc)在windows设置－> 安全设置－> 本地策略－>审核策略中，打开你需要记录的windows日志。

cisco设备上启用日志及syslog服务器配置使用syslog记录Cisco设备日志以下配置描述了如何将Cisco设备的日志发往syslog服务器device#conf tdevice(config)#logging ondevice(config)#logging a.b.c.d //日志服务器的IP地址device(config)#logging facility local1//facility标识, RFC3164 规定的本地设备标识为local0 - local7device(config)#logging trap errors //日志记录级别，可用"?"查看详细内容device(config)#logging source-interface e0 //日志发出用的源IP地址device(config)#service timestamps log datetime localtime//日志记录的时间戳设置，可根据需要具体配置检验device#sh logging个人实验配置实验环境:syslog服务器:winxp (kiwi syslog) or linuxas4 (syslog) ipaddr:192.168.1.1router:cisco3640(dynamips 模拟)router(3640)配置:r1(config)#logging on#打开日志服务r1(config)#logging host 192.168.1.1#定义日志服务器地址r1(config)#service timestamps debug datetime localtime show-timezone msecr1(config)#service timestamps log datetime localtime show-timezone msec #以上2行定义时间戮r1(config)#logging facility local7#定义facility级别,默认为7r1(config)#logging trap 7#定义severity级别,(0-7),如7则=0-7全部启用syslog(windows kiwisyslog)配置kiwi syslog版本为8.2.8,因是免费版本故不支持多台设备分别记录.安装后既可,基本不用配置. syslog(linuxas4 syslog)配置明天做,缓缓网上资料配置vi /etc/sysconfig/syslog把SYSLOGD_OPTIONS="-m 0"修改为SYSLOGD_OPTIONS="-r -m 0" //-r 从远端主机写入-m 0 sables 'MARK' messagesvi /etc/syslog.conf加入下列内容把设备号为local4(PIX的默认设备号)的所有的日志记录到/var/log/router.log中#Save pix messages all to router.loglocal4.* /var/log/router.log把设备号为local5(在S8016中用info-center loghost host-ip-addr facility local-number指定)的所有的日志记录到/var/log/router.log中#Save S8016 messages all to S8016.loglocal5.* /var/log/S8016.log生成空的日志文件touch /var/log/router.logtouch /var/log/S8016.log然后重启syslog,就ok了/etc/rc.d/init.d/syslog restart别忘了设置防火墙规则,仅允许你的设备发送到udp/514(默认的UDP端口为514,默认的tcp端口为146为了避免日志过大,配置日志轮循(man logrotate 查看详细的帮助信息)vi /etc/logrotate.conf增加下列内容# system-specific logs may be also be configured here./var/log/router.log (rotate 2}/var/log/S8016.log {weekly //每周轮循rotate 4 //轮循4次}配置crontab进行日志备份,如按照日期进行备份.如网络设备很多,可把同类的设备配置为相同的设备号例:more switch.log | grep X.X.X.X //查看某一设备的日志审核和记录系统的事件是非常重要的。

我们需要测试一种集中日志系统，要在Windows上建立一个类Linux下的集中日志系统。

经过比较Winsyslog和Kiwisyslog等工具，最终选定Kiwisyslog(/)，它不仅功能齐全，而且提供免费的版本。

Kiwisyslog遵循标准的日志协议(RFC 3164)，并支持UDP/TCP/SNMP几种方式的日志输入。

它默认是个免费的功能受限版（但功能基本够用了，只是没有找到汉化），自带发送模拟器﹑日志浏览器等实用工具。

我还测试了一下把ACE日志写到syslog的功能。

过程记录如下：1）使用klog工具这个主要用到kiwisyslog的klog实用工具(这个工具同时提供dll库的调用方式,真是好东西，我决定以后在我的应用里都用它！)，它支持直接或用重定向的方法输出日志到kiwisyslog。

klog –m "It's almost lunchtime"DIR *.* | klog -h 192.168.1.2 -i但我试图使用ACE应用日志输出到kiwisyslog时（ace_app.exe | klog -h 192.168.1.2 -i的形式），发现日志内容里前后有乱码出现，即ACE的日志输出直接重定向到klog再转到kiwisyslog有问题；并且不能按时间一行一行的输出，而是等应用程序执行结束时一股脑输出到kiwisyslog（按回车换行切开成一条一条日志）。

如果程序非正常结束，还不能将输出日志内容传到kiwisyslog。

还有一个方法是在Windows通过设置可以把ACE日志输出到系统日志里面。

ACE_LOG_MSG->set_flags(ACE_Log_Msg::SYSLOG);然后按下面2）的方法转到kiwisyslog。

2）还可以把Windows下的事件日志转到Linux下的syslog我们需要第三方的软件来将windows的日志转换成syslog类型的日志后，转发给syslog服务器。

日志服务器搭建搭建日志服务器的步骤：⒈确定需求⑴分析项目需求和数据规模⑵确定日志存储周期和数据保留策略⒉选择合适的日志服务器软件⑴根据需求选择合适的日志服务器软件⑵进行软件评估和比较⒊硬件需求⑴确定服务器硬件要求（如CPU、内存、存储等）⑵确定网络需求（如带宽、网络拓扑等）⒋安装操作系统⑴安装服务器操作系统⑵配置网络设置⒌安装日志服务器软件⑴并解压日志服务器软件包⑵配置日志服务器软件参数⑶启动日志服务器⒍配置日志收集⑴配置客户端日志⑵配置日志收集规则⑶测试日志收集⒎数据存储和备份⑴确定日志数据存储方式（例如数据库、文件系统）⑵配置数据备份策略⑶定期检查数据完整性和备份恢复能力⒏日志查询和分析⑴学习日志查询和分析技巧⑵配置日志查询和分析工具⑶分析日志数据⒐安全性和权限控制⑴设定访问权限⑵配置防火墙和安全加固⑶定期更新和升级日志服务器软件⒑监控和性能优化⑴配置监控工具和告警系统⑵定期检查服务器性能和日志服务器负载状况⑶进行性能优化和调整1⒈安全注意事项和最佳实践1⑴保护服务器，加强登录认证和访问控制1⑵定期更新系统和软件，修补安全漏洞1⑶加密和保护敏感数据1⒉维护和故障处理1⑴制定日志服务器维护计划1⑵备份和恢复日志服务器配置1⑶处理日志服务器故障和问题附件：附件一：日志服务器搭建配置参数表附件二：日志收集规则示例法律名词及注释：⒈涉及的法律名词及注释1⒉涉及的法律名词及注释2⒊涉及的法律名词及注释3。

1.安装系统a)安装要求i.PC配置：CPU：Intel P E2160（1.8GHz）以上内存：1G以上硬盘：80G以上虚拟机要求：Kernel：linux 2.6内存：512以上硬盘：40G以上b)安装系统i.Linux syslog server要求用centos 5.5下载地址：ed2k://|file|[《CentOS.5.5.》32bit[光盘镜像]].CentOS-5.5-i386-bin-DVD.iso|4185118720|a1ce64b6d36d945f562cb1250d8d665f|h=fnfai2pqdbdxmz5i5wshkaj22ttscbkg|/c)配置网络i.点击桌面上方的系统→管理→网络，配置eth0和DNSwork Abapter修改为桥接模式2.安装工具a)安装GCC和make[root@FDWIN ~]# yum install gcc makeb)安装LAMP平台[root@FDWIN ~]# yum install php-mysql mysql mysql-server php-snmp php-pdoperl-DBDMySQL httpd php –y[root@FDWIN ~]# service mysqld start[root@FDWIN ~]# chkconfig mysqld on[root@FDWIN ~]#service httpd start[root@FDWIN ~]#chkconfig httpd on[root@FDWIN ~]# mysqladmin -uroot password '000000'[root@FDWIN ~]#vim /var/www/html/index.php添加：<?php$link=mysql_connect("localhost","root","000000");if(!$link) echo "FAILD!";else echo "OK!";?>然后网页访问下出现OK说明没问题了。

天融信日志服务器配置说明书（Topsec_Auditor_Server_2.0专用版）VER: 2.0杭州市工商行政管理局网络安全二期项目工程文档--------日志服务器配置说明书北京天融信网络安全技术有限公司杭州分公司2004年12月天融信安全技术高品质的保证文档管理文档信息分发控制版本控制目录安装数据库服务器 (1)安装并配置审计服务器 (3)安装并配置审计管理器 (4)配置防火墙日志权限 (5)安装数据库服务器系统要求：操作系统：中英文windows 2000/2003 服务器版数据库系统：MS SQL Server 2000 + Service Pack 3 ( 不支持 MS SQL Server 7.0 )最低配置：CPU ：PIII 内存：256M 硬盘：10G推荐配置：CPU：P4 2.4G 内存：512M 硬盘 80G安装步骤：1. 插入SQL Server 2000 安装光盘：2. 选择<安装SQL Server 2000 组件>，开始安装数据库服务器，依照安装向导的提示，安装数据库服务器和客户端工具。

3. 在安装类型页面，用自定义方式，选择程序文件和数据文件的安装目的文件夹：【注意】选择自定义也方便了加速查询的排序次序的设置，强烈建议修改默认的排序方式为二进制。

另外，数据文件所在文件夹分区必须是NTFS 格式，如果是FAT32 格式的分区，文件的限制为4G，当超过4G 时，文件无法继续增长。

同时建议不要安装SQL数据文件与程序文件在系统盘，可单独安装数据文件到大的磁盘与系统盘分开。

4. 下一步，选择身份验证模式为<混合模式>，输入sa 登录密码，请管理员务必牢记：5. 在接下来的排序规则设置页面，本系统推荐“二进制”排序，这样可以提高查询速度：6. 设置工作完成后，安装程序开始复制文件。

7. SQL Server 安装完成。

8. 安装Microsoft SQL Server 2000 Service Pack 3。

天融信日志服务器配置说明书（Topsec_Auditor_Server_2.0专用版）VER: 2.0杭州市工商行政管理局网络安全二期项目工程文档--------日志服务器配置说明书北京天融信网络安全技术有限公司杭州分公司2004年12月天融信安全技术高品质的保证文档管理文档信息分发控制版本控制目录安装数据库服务器 (3)安装并配置审计服务器 (5)安装并配置审计管理器 (11)配置防火墙日志权限 (17)安装数据库服务器系统要求：操作系统：中英文windows 2000/2003 服务器版数据库系统：MS SQL Server 2000 + Service Pack 3 ( 不支持 MS SQL Server 7.0 ) 最低配置：CPU ：PIII 内存：256M 硬盘：10G推荐配置：CPU：P4 2.4G 内存：512M 硬盘 80G安装步骤：1. 插入SQL Server 2000 安装光盘：2. 选择<安装SQL Server 2000 组件>，开始安装数据库服务器，依照安装向导的提示，安装数据库服务器和客户端工具。

3. 在安装类型页面，用自定义方式，选择程序文件和数据文件的安装目的文件夹：【注意】选择自定义也方便了加速查询的排序次序的设置，强烈建议修改默认的排序方式为二进制。

另外，数据文件所在文件夹分区必须是NTFS 格式，如果是FAT32 格式的分区，文件的限制为4G，当超过4G 时，文件无法继续增长。

同时建议不要安装SQL数据文件与程序文件在系统盘，可单独安装数据文件到大的磁盘与系统盘分开。

4. 下一步，选择身份验证模式为<混合模式>，输入sa 登录密码，请管理员务必牢记：5. 在接下来的排序规则设置页面，本系统推荐“二进制”排序，这样可以提高查询速度：6. 设置工作完成后，安装程序开始复制文件。

7. SQL Server 安装完成。

8. 安装Microsoft SQL Server 2000 Service Pack 3。

windows下搭建syslog服务器及基本配置⼀、环境windows7 64位+ kiwi_syslog_server_9.5.0kiwi_syslog百度云下载地址:链接: https:///s/1EpPBNsL1RVXceHeQoce1Ag 提取码: 6j9w⼆、安装syslog服务器2.1 双击安装⽂件2.2 下⼀步到了如下，去掉勾选2.3 ⼀直下⼀步，知道结束2.4 关闭syslog后台服务2.5 打开keygen注册机⽂件2.6 将以下俩个⽂件覆盖掉C:\Program Files (x86)\Syslogd⾥2.7 打开syslog主程序，help–>enter license details2.8 选择⼿⼯激活（在安装⽬录中打开KiwiSyslogLicensor.exe⽂件）2.9 复制机器码2.10 打开keygen.exe，将机器码复制进去，⽤户名随机，点击generate，⽣成lic⽂件2.11 在2.9的截图⾥，点击Browser，选择2.10⽣成的license⽂件，即可激活成功三、常⽤配置3.1 测试syslog服务是否能接收正常，给⾃⼰发送⼀条⽇志信息3.2 syslog⽂件保存⽬录查看file–>setup–>点击log to file，右侧便是存放路径。

注意%DateISO显⽰当天⽇期;%IPAdd4显⽰来源3.3 开启⽇志⽂件循环功能，即可设定每隔多久或者⽂件达到多⼤就另起⼀个保存⽇志⽂件3.4 更改输⼊的字符编码为utf-8，防⽌有中⽂显⽰乱码3.5 软件内的窗⼝之显⽰⽇志，不保存。

3.6 开启定期保存⽇志⽂件，如每天5点将E:\Syslogd\Logs⽂件夹⾥的⽂件复制到E:\Syslogd\Dated Logs\当天⽇期\⽂件夹下，设置截图如下：。

在比较大规模的网络应用或者对安全有一定要求的应用中，通常需要对系统的日志进行记录分类并审核，默认情况下，每个系统会在本地硬盘上记录自己的日志，这样虽然也能有日志记录，但是有很多缺点：首先是管理不便，当服务器数量比较多的时候，登陆每台服务器去管理分析日志会十分不便，其次是安全问题，一旦有入侵者登陆系统，他可以轻松的删除所有日志，系统安全分析人员不能得到任何入侵信息。

因此，在网络中安排一台专用的日志服务器来记录系统日志是一个比较理想的方案。

本文以FreeBSD下的syslog为例，介绍如何利用freebsd的syslogd来记录来自UNIX和windows的log信息。

一，记录UNIX类主机的log信息：首先需要对Freebsd的syslog进行配置，使它允许接收来自其他服务器的log信息。

在/etc/rc.conf中加入：syslogd_flags="-4 -a 0/0:*"说明：freebsd的syslogd参数设置放在/etc/rc.conf文件的syslogd_flags变量中Freebsd对syslogd的默认设置参数是syslogd_flags="-s"，（可以在/etc/defaults/rc.conf中看到）默认的参数-s表示打开UDP端口监听，但是只监听本机的UDP端口，拒绝接收来自其他主机的log信息。

如果是两个ss,即-ss，表示不打开任何UDP端口，只在本机用/dev/log设备来记录log.修改后的参数说明：-4 只监听IPv4端口，如果你的网络是IPv6协议，可以换成-6-a 0/0:* 接受来自所有网段所有端口发送过来的log信息。

如果只希望syslogd接收来自某特定网段的log信息可以这样写：-a 192.168.1.0/24:*-a 192.168.1.0/24:514或者-a 192.168.1.0/24表示仅接收来自该网段514端口的log信息，这也是freebsd的syslogd进程默认设置，也就是说freebsd 在接收来自其他主机的log信息的时候会判断对方发送信息的端口，如果对方不是用514端口发送的信息，那么freebsd的syslogd会拒绝接收信息。

天融信日志服务器配置说明书公司标准化编码 [QQX96QT-XQQB89Q8-NQQJ6Q8-MQM9N]天融信日志服务器配置说明书（专用版）VER:杭州市工商行政管理局网络安全二期项目工程文档--------日志服务器配置说明书北京天融信网络安全技术有限公司杭州分公司2004年12月天融信安全技术高品质的保证文档管理文档名称杭州市工商局网络安全二期项目工程文档保密级别内部文档文档版本编号目录安装数据库服务器系统要求：操作系统：中英文windows 2000/2003 服务器版数据库系统：MS SQL Server 2000 + Service Pack 3 ( 不支持 MS SQL Server )最低配置：CPU ：PIII 内存：256M 硬盘：10G推荐配置：CPU：P4 内存：512M 硬盘 80G安装步骤：1. 插入SQL Server 2000 安装光盘：2. 选择<安装SQL Server 2000 组件>，开始安装数据库服务器，依照安装向导的提示，安装数据库服务器和客户端工具。

3. 在安装类型页面，用自定义方式，选择程序文件和数据文件的安装目的文件夹：【注意】选择自定义也方便了加速查询的排序次序的设置，强烈建议修改默认的排序方式为二进制。

另外，数据文件所在文件夹分区必须是NTFS 格式，如果是FAT32 格式的分区，文件的限制为4G，当超过4G 时，文件无法继续增长。

同时建议不要安装SQL数据文件与程序文件在系统盘，可单独安装数据文件到大的磁盘与系统盘分开。

4. 下一步，选择身份验证模式为<混合模式>，输入sa 登录密码，请管理员务必牢记：5. 在接下来的排序规则设置页面，本系统推荐“二进制”排序，这样可以提高查询速度：6. 设置工作完成后，安装程序开始复制文件。

7. SQL Server 安装完成。

8. 安装Microsoft SQL Server 2000 Service Pack 3。

日志服务器搭建范文步骤一：选择操作系统首先，我们需要选择适合作为日志服务器的操作系统。

常用的选择包括Linux、Windows和FreeBSD等。

在选择操作系统时，需要考虑到操作系统的稳定性、安全性和易用性等因素。

步骤二：安装日志服务器软件一旦选择了适合的操作系统，我们就可以开始安装日志服务器软件了。

常用的日志服务器软件包括ELK Stack（Elasticsearch、Logstash和Kibana）和Graylog等。

这些软件提供了强大的日志收集、存储和分析功能。

以安装ELK Stack为例，我们可以按照以下步骤进行安装：1. 安装Elasticsearch：2. 安装Logstash：3. 安装Kibana：步骤三：配置日志收集例如，我们可以使用Filebeat插件来监视应用程序日志文件的变化，并将其发送到Logstash进行处理。

我们可以在Logstash的配置文件中指定Filebeat的监听地址和端口，以便接收来自Filebeat的日志数据。

步骤四：配置日志存储和索引一旦收集到日志数据，我们需要将其存储到Elasticsearch中进行索引和。

为了实现这一点，我们可以在Logstash的配置文件中指定Elasticsearch的连接信息。

在配置完成后，Logstash将会将收集到的日志数据发送到Elasticsearch中，并根据我们的配置在Elasticsearch中创建相应的索引。

这样，我们就可以通过Kibana来、过滤和可视化这些索引。

步骤五：测试和维护在配置完成后，我们应该对日志服务器进行测试，以确保其正常工作。

我们可以通过发送一些测试日志消息，然后使用Kibana来和可视化这些消息，以验证日志服务器正常运行。

另外，我们还应该建立日志服务器的定期维护计划，包括定期备份日志数据、监控服务器性能和更新软件版本等。

这样可以确保日志服务器的稳定性和安全性，并及时发现和解决潜在的问题。

总结：搭建一个日志服务器可能需要一些时间和精力，但是它能够为我们提供强大的日志管理和分析功能。