任务3 在客户端配置日志服务器指向
任务目标
为客户端指向日志服务器,并配置发送选项,以发送日志信息至日志服务器。
任务步骤
1.登录云服务器test02并配置其主机名
复制实例test02的公网IP,用于远程连接。建立连接后,修改其主机名为test02。具体操作步骤详见“任务2 在服务端配置日志服务”中的步骤1。
2.配置/etc/rsyslog.conf
使用vim文本编辑器打开/etc/rsyslog.conf,并列出行序号。
vim /etc/rsyslog.conf
:set nu
按下“i”键,进入插入模式,并修改第57行内容。在该行中,删除日志存放的默认本地路径,替换为日志服务器(test01)的内网IP地址。不同系统和软件版本,可能行序号可能不一致,但只要修改同样的内容即可。
authpriv日志保存着安全和身份验证相关的消息及错误的日志文件,通常会记录黑客的入侵信息。图示配置为:所有authpriv相关的日志,不论严重程度都发送至IP为10.0.0.10的主机。10.0.0.10是test01(日志服务器)的内网IP地址,可以在云服务器控制台实例列表中查看及复制。
继续在插入模式下,删除第15、16、19、20行的注释符,使之生效,允许使用TCP:514和UDP:514进行日志数据传输。这是配置客户端发送日志消息的端口参数。不同系统和软件版本,可能行序号可能不一致,但只要修改同样的内容即可。
本实验设置的日志服务器仅侦听UDP:514端口,TCP传输可以不进行配置。此处允许TCP传输仅为了模拟实际环境中的常用部署。
15 $ModLoad imudp
16 $UDPServerRun 514
#允许使用UDP:514传输日志数据
19 $ModLoad imtcp
20 $InputTCPServerRun 514
#允许使用TCP:514传输日志数据
按下“Esc”键,退出插入模式,并再次按下“:”键,进入末行模式。输入“wq”,保存修改并退出。
重启服务使配置生效。
systemctl restart rsyslog
学员评价