问
Rocky Linux 9主机日志外发配置
2小时前提问
- 0关注
- 0收藏,20浏览
zhiliao_Gixe
六段
Rocky Linux 9日志外发(基于rsyslog)配置步骤:
1. 三层连通性:确认主机ping日志审计服务器IP正常,执行nc -zv 审计IP 514验证514端口(syslog默认)TCP连通。
2. 配置rsyslog:编辑/etc/rsyslog.conf,添加转发规则:*.* @@审计服务器IP:514(@@代表TCP,可靠性更高)。
3. 生效配置:执行systemctl restart rsyslog && systemctl enable rsyslog。
4. 验证:执行logger "test log",到审计服务器查看是否接收日志。
注意:审计服务器侧需开放514端口入方向,若有防火墙需确认对应规则。
1. 三层连通性:确认主机ping日志审计服务器IP正常,执行nc -zv 审计IP 514验证514端口(syslog默认)TCP连通。
2. 配置rsyslog:编辑/etc/rsyslog.conf,添加转发规则:*.* @@审计服务器IP:514(@@代表TCP,可靠性更高)。
3. 生效配置:执行systemctl restart rsyslog && systemctl enable rsyslog。
4. 验证:执行logger "test log",到审计服务器查看是否接收日志。
注意:审计服务器侧需开放514端口入方向,若有防火墙需确认对应规则。
Rocky Linux9 系统日志远端 syslog 外发(rsyslog,UDP514,对接日志审计)
审计服务器:
172.16.255.2,三层互通、防火墙放行 UDP514。一、方案:rsyslog(系统默认预装,不用装软件)
1、编辑主配置
bash
运行
vi /etc/rsyslog.conf
# 文件末尾追加下面两行
*.info;mail.none;authpriv.none;cron.none @172.16.255.2:514
# @=UDP @@=TCP
参数说明:
*.info:info 及以上级别全部日志mail.none:排除邮件日志authpriv.none:排除认证私密日志@ip:端口UDP 发送
2、如需单独分开系统 / 安全 / 定时日志(精细拆分)
bash
运行
# 系统所有日志
*.info @172.16.255.2:514
# 认证日志单独发
authpriv.* @172.16.255.2:514
# cron定时任务
cron.* @172.16.255.2:514
二、放行本机防火墙(firewalld)
bash
运行
# 本机是发送端,只需要出站放行,无需入站
# 可选:不用配置,默认出站全通;如限制出站则:
firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 0 -p udp --dport=514 -j ACCEPT
firewall-cmd --reload
审计端防火墙务必放行本机源 IP UDP514 入站
三、重启生效 + 验证
bash
运行
# 重启rsyslog
systemctl restart rsyslog
systemctl enable rsyslog
# 查看运行状态
systemctl status rsyslog
测试生成一条日志,看审计是否收到
bash
运行
logger "test rocky9 syslog send"
四、进阶:TCP 传输(可靠性更高,@@)
改配置:
plaintext
*.info;mail.none;authpriv.none;cron.none @@172.16.255.2:514
五、常见排错
- 抓包验证主机是否发包:
tcpdump udp port 514 - 确认主机能 ping 通审计 IP
- 审计 IP / 端口写错是收不到日志头号原因
暂无评论
在 Rocky Linux 9 主机上配置日志外发,核心是通过系统自带的
rsyslog 服务将日志通过 UDP 或 TCP 协议转发到你的日志审计服务器。以下是完整的配置步骤:
1. 配置日志外发规则
在 Rocky Linux 9 主机(客户端)上,建议在
/etc/rsyslog.d/ 目录下新建一个独立的配置文件,这样便于管理。执行以下命令创建并编辑配置文件:
1sudo vim /etc/rsyslog.d/forward.conf在文件中添加日志转发规则。假设你的日志审计服务器 IP 是
192.168.1.100,端口为 514:- 如果使用 UDP 协议(速度快,但可能丢包,默认常用):
1*.* @192.168.1.100:514 - 如果使用 TCP 协议(传输更可靠,不易丢包):
1*.* @@192.168.1.100:514
(注:
*.* 表示转发所有类型、所有级别的日志;单个 @ 代表 UDP,双 @@ 代表 TCP)2. 检查并配置防火墙(关键)
由于你提到了“三层互通”,除了确保路由可达外,还必须确保 Rocky Linux 9 主机的本地防火墙允许日志外发的流量通过。
执行以下命令放行对应的端口(以 UDP 为例,如果是 TCP 请将
udp 改为 tcp):1sudo firewall-cmd --permanent --add-port=514/udp
2sudo firewall-cmd --reload3. 重启 rsyslog 服务并设置开机自启
配置完成后,重启 rsyslog 服务使配置生效,并确保服务器重启后服务能自动运行:
1sudo systemctl restart rsyslog
2sudo systemctl enable rsyslog4. 验证日志外发是否成功
你可以手动生成一条测试日志,看看审计服务器上是否能收到:
1logger "Rocky Linux 9 log forwarding test"随后,你可以去你的日志审计服务器上查看是否收到了这条带有 "Rocky Linux 9 log forwarding test" 字样的日志。
暂无评论
编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明
暂无评论