日志文件

/etc/rsyslog.conf
火狐打开html文档
firefox html文档 &
&:后台打开

日志文件包含
可以在其他目录写日志配置文件

mail.none(邮件信息);cron.none(计划任务信息);authpriv.none(登录信息)
后面的none表示这些信息不记录在/var/log/messages文件下
有自己单独的位置

*.info其他所有信息都记录在/var/log/messages
只要级别在info或之上就会记录
.点号后面的表示日志级别

日志级别

• debug, #调试
• info, #信息
• notice, #注意
• warning, #警告
• warn (same as warning), err, error #错误
• crit,
• alert,
• emerg, panic (same as emerg) #最严重
  当emerg触发时，屏幕上就会出现警告

建立日志服务器

实验拓扑

实验拓扑图建立如下这种：
客户机的日志信息同步到日志服务器中

我建立的：

• 客户机192.168.64.32
• 服务器 172.21.21.21
• 中间网关两块网卡 172.21.230.72；192.168.64.5

先测试一波：
使用hydra爆破一些ssh服务
这里有一点小提示：dns会对ssh的连接进行解析
查看日志：vim /var/log/auth.log
成功记录

同样可以直接跟踪
tail -f /var/log/auth.log

客户机

客户机考虑因素：

1. 发送什么服务的日志
2. 给谁发送
3. 使用什么协议
   问题1：
   
   问题2：
   发送给日志服务器
   客户机IP:192.168.64.32
   服务器IP：172.21.21.21
   

问题3：
使用tcp协议

开始配置客户机：
还是这个/etc/rsyslog.conf 文件

authpriv:登录信息
.*表示任意级别
@@表示tcp协议 ； @表示udp协议
后面写上主机加端口号

/etc/init.d/rsysolg restart重启

服务机

服务机考虑问题：

1. 解释谁的信息
2. 用什么协议，端口号
3. 保存的位置

把前面的注释去掉

tcp协议接受515端口号，可以更改，但必须保持客户机与服务器端口一致

在最后面写上
:fromhost-ip, isequal, “192.168.64.32” /var/log/client/192.168.64.32.log
:fromhost-ip #接受的主机IP
isequal #等于
“192.168.64.32” #这个IP的主机
/var/log/client/192.168.64.32.log #接受的日志保存的地方

测试

用网关主机爆破客户机一波，查看服务器日志：

成功！

搭配使用

刚才写的是：
:fromhost-ip, isequal, “192.168.64.32” /var/log/client/192.168.64.32.log
换一种：
:msg, contains, “password” /var/log/client/password.log
意思是：不管谁发的只要发送的日志信息里含有password关键字就会记录到知道位置

:fromhost-ip, startwith, “192.168.64” /var/log/client/192.168.64.log
意思是：只要是ip地址是192.168.64开头就记录在/var/log/client/192.168.64.log

同样自己发挥想法随意写！