--> 为了方便集中管理日志,我们将服务器的日志及网络设备的日志发送到中央日志主机。
开启中央日志主机syslog的远程接收功能,即在syslog启动时添加选项-r,以redhat平台为例:
编辑/etc/sysconf/syslog将SYSLOGD_OPTIONS="-m 0"改为SYSLOGD_OPTIONS="-m 0 -r",如果不存在这个文件编缉/etc/init.d/syslog中的SYSLOGD_OPTIONS="-m 0"改为SYSLOGD_OPTIONS="-m 0 -r"。
编缉/etc/syslog.conf指定日志的存储位置(在此我将firewall的设备设为local1):
local1.* /var/log/firewall-C.log
重启syslog守护进程:
[root@loghost root]# service syslog restart
关闭内核日志记录器: [ 确定 ]
关闭系统日志记录器: [ 确定 ]
启动系统日志记录器: [ 确定 ]
启动内核日志记录器: [ 确定 ]
[root@loghost root]#
配置iptables开放udp协议的514端口,编缉/etc/sysconfig/iptables添加:
-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 514 -j ACCEPT
重启iptables:
[root@loghost root]# service iptables restart
Flushing firewall rules: [ 确定 ]
Setting chains to policy ACCEPT: filter [ 确定 ]
Unloading iptables modules: [ 确定 ]
Applying iptables firewall rules: [ 确定 ]
[root@loghost root]#
登入防火墙,添加日志主机:
[Firewall-C]info-center loghost 192.168.4.25 facility local1 language english
到此,主机loghost中的/var/log/firewall-C.log中就会保留有Firewall-C的日志了。
发表评论