---

前言

日志是查看系统运行情况的一个重要部分，在应急响应中，服务器的日志文件就扮演了一个特别重要的作用，管理员根据日志可以判断一些恶意的攻击行为，以此来将一些IP拉入黑名单或者对攻击进行溯源等等。为防止日志被恶意删除的行为，日志的备份就显得特别重要。

---

0x01 服务端配置

服务端：负责接收其他客户端发来的日志，并做好备份保存。

打开rsyslog的配置文件。

vim /etc/rsyslog.conf

选择接收的传输协议（UDP或者TCP）和端口号（默认514），我选择了TCP。

默认的存储文件位置是/var/log/messages
不过这样会把本机和客户机的日志都放在一起，可以单独新建一个文件进行存放，在最下方添加：

:fromhost-ip,isequal,"192.168.178.129" /var/log/client/client.log

意思是当主机IP为192.168.178.129时，日志文件保存到 /var/log/client/client.log

最后重启服务：

systemctl restart rsyslog

0x02 客户端配置

同样先打开rsyslog的配置文件。
复制第90行的格式，添加一条设置：

*.* @@192.168.178.10:514
#这一句表达的意思是将所有类型和等级的日志都用TCP服务发给.10主机的514号端口

这里详细解释一下各个符号的含义：
各个位分别表示日志类型、连接符号、日志等级、处理方式。

日志类型：
auth        –pam产生的日志
authpriv    –ssh,ftp等登录信息的验证信息
cron        –时间任务相关
kern        –内核
lpr         –打印
mail        –邮件
mark(syslog)–rsyslog服务内部的信息,时间标识
news        –新闻组
user        –用户程序产生的相关信息
uucp        –unix to unix copy, unix主机之间相关的通讯
local 1~7   –自定义的日志设备

连接符号：
.xxx: 表示大于等于xxx级别的信息
.=xxx：表示等于xxx级别的信息
.!xxx：表示在xxx之外的等级的信息

日志级别：
级别从低到高，记录的信息越来越少
debug       –有调式信息的，日志信息最多
info        –一般信息的日志，最常用
notice      –最具有重要性的普通条件的信息
warning     –警告级别
err         –错误级别，阻止某个功能或者模块不能正常工作的信息
crit        –严重级别，阻止整个系统或者整个软件不能正常工作的信息
alert       –需要立刻修改的信息
emerg       –内核崩溃等严重信息
none        –什么都不记录

处理方式：
/var/log/file	发送到日志文件
@@(IP)	发送到TCP server
@(IP)	发送到UDP server
user1,user2	    发送到在线用户user1，user2
~		        丢弃该日志
^/path/script	执行的脚本，^后面跟可以执行的脚本，日志内容可以作为脚本的第一个参数，可以用来触发告警

设置完成后，保存退出，重启服务。

0x03 测试

在客户端输入命令logger，向日志文件写入内容：

logger "Rdrug"

查看日志文件（tail -f表示查看最后十行数据）：

tail -f /var/log/messages 

服务端：

tail -f /var/log/client/client.log

---

0x04 总结

刚开始自己实验时，忘记开放514端口，导致日志同步一直不成功，而且linux系统在设置完服务之后一定要重启生效。
如果你是在生产环境下，可不能直接关闭防火墙，应根据需要单独放开某个端口。
这里放上防火墙的一些端口配置命令

查看已开放的端口
firewall-cmd --list-ports开放端口（开放后需要要重启防火墙才生效）
firewall-cmd --zone=public --add-port=3338/tcp --permanent关闭端口（关闭后需要要重启防火墙才生效）
firewall-cmd --zone=public --remove-port=3338/tcp --permanent重启防火墙
firewall-cmd --reload