天翼云日志审计使用教程-Linux主机日志

点击这里注册天翼云VIP帐号，立即体验日志审计>>>

天翼云日志审计使用教程-Linux主机日志

本小节介绍日志审计Linux主机日志配置方法。

不同的Linux版本，syslog服务名可能为 syslog，也可能为 rsyslog；以下以syslog为例说明。

Linux主机所有的日志文件一般都在/var/log下，默认只是不记录FTP 的活动，Linux系统的日志文件是可以配置的，Linux syslog设备依据两个重要的文件：/etc/syslogd守护进程和/etc/syslog.conf配置文件。通过将需要处理的日志发送到日志审计审计中心所在的主机，日志审计审计中心就可以采集到Linux主机的日志信息了。

配置方法如下：

首先我们对/etc/syslog.conf文件进行编辑，在文件后面加入下面一行：

上面的命令可以解释为：把系统kern(内核)、User(用户进程)、Damon(系统守护进程)、Auth(与安全权限相关命令)、Uucp(Uucp程序)、Cron(记录当前登录的每个用户信息)、Wtmp(一个用户每次登录进入和退出时间的永久记录)、Authpriv(授权信息)的info（一般性消息）及以上等级的日志发送到10.115.136.69日志采集服务器。
如果要发送全部日志，使用如下格式：

以上命令表示：发送warning级以上（err,crit,alert与emerg）的所有登录登出日志（authpriv.notice），以及认证信息（auth.notice）。
配置完成后需要重启syslog服务才能生效

最后需要开通linux主机设备到日志采集服务器之间经过防火墙的UDP 514端口
Centos 7以上版本重启rsyslog命令    systemctl restart rsyslog