记CentOS7里搭建日志服务器实验
实验环境:
win7-64(攻击者)
centos7 (被攻击者与发送日志者)
centos7-2 (接收日志者---日志服务器)
实验开始:
步骤一
配置网络并能互相通信
首先要能互相通信
可以把三台都放到同一VMnet里配上ip就可以互相通信。
但我这里是把其中一台centos作为路由器来使用来进行实验。
这是作为路由器的centos的两块网卡分别放在不同的VMnet
一个我就放VMnet8(NAT)一个我放在VMnet2
为方便理解我搭个拓扑出来
如图:
centos网络配置
centos2网络配置
win7网络配置
开启路由转发功能
要想centos作为路由器首先要开启路由转发功能
编辑net.ipv4.ip_forward=1到/etc/sysctl.conf
再用sysctl -p这个命令让配置文件生效
关闭防火墙
systemctl stop firewall.service
就可以成功ping通不同网段的pc了
步骤二
日志的存放位置
通过查看配置文件/etc/rsyslog.conf的rules规则里可以看到日志文件的存放位置
这里我来解释下这些规则
服务名称 点(.)日志级别
任何服务.info及info级别以上的;mail.none;authpriv.none;cron.none(none不是代表日志级别,这个是代表如果触发mail,authpriv,cron这三种服务的日志是不往/var/log/messages里写的)
日志级别有哪些
通过man rsyslog.conf查看
debug,info,notice,warning,warn (same as warning 这个代表warning和warn一个级别),err,error (same as err 这个代表err和error一个级别),crit,alert,emerg,panic (same as emerg 这个代表emerg和panic一个级别)
而authpriv(登录认证服务).*(任何级别)存放在/var/log/secure下
于是我们假设一下攻击者如果成功登录上了centos这台服务器看看/var/log/secure是否有记录
跟踪日志变化命令 tail -f /var/log/secure
再在win7使用putty登录
记录下来了
再清空centos这个secure文件的日志内容
查看文件是否被清空
步骤三
建立日志服务器---备份日志
日志发送端
需要考虑发送什么日志服务
需要考虑发送到对方那个IP已经端口和协议(tcp/udp)
在/etc/rsyslog.conf这个配置文件里有个转发规则
下面表示登录认证服务的所有日志等级用tcp协议(@@)发送至172.16.111.1(对方ip地址)的514端口
并关闭防火墙和SELinux功能
重启rsyslog服务
日志接收端
需要考虑使用的协议
需要考虑收谁的日志
需要考虑收完放哪
在/etc/rsyslog.conf配置文件中的modules中可以看到有两个模块一个是tcp一个是udp,这是就是指接收时使用什么协议接收。
发送端用tcp协议,接收端也要用tcp协议
在end of the forwarding rule里写接收那个服务器的日志和接收后存放位置
:fromehost-ip, ---按照ip地址收
isequal,“172.16.111.254” ---指定为从172.16.1.254发来的日志服务器才接收
/var/log/centos7/172.16.111.254.log ---指定接收后存放的位置
创建好接收位置
重启服务生效
关闭防火墙
systemctl stop firewalld.service
查看端口是否开启监听
步骤四
检验效果
在win7上进行ssh远程登录(centos)后清空日志查看日志服务器(centos2)是否有保存日志
登录
centos记录了
清空日志
centos被清空
查看日志服务器(centos2)是否有保存
如果记录不了应该是172.16.111.254.log文件权限限制了
chmod 777 文件名
再重试一下就行了
实验结束!
标签:log,centos,CentOS7,服务器,日志,接收,级别 From: https://www.cnblogs.com/lonely-sail/p/16853465.html