本文共 2181 字，大约阅读时间需要 7 分钟。

一， 记录UNIX类主机的log信息：

首先需要对Freebsd的syslog进行配置，使它允许接收来自其他服务器的log信息。

在/etc/rc.conf中加入：syslogd_flags="-4 -a 0/0:*"

说明：freebsd的syslogd参数设置放在/etc/rc.conf文件的syslogd_flags变量中

Freebsd对syslogd的默认设置参数是syslogd_flags="-s"，（可以在/etc/defaults/rc.conf中看到）默认的参数-s表示打开UDP端口监听，但是只监听本机的UDP端口，拒绝接收来自其他主机的log信息。如果是两个ss,即-ss，表示不打开任何UDP端口，只在本机用/dev/log设备来记录log.

修改后的参数说明：

-4 只监听IPv4端口，如果你的网络是IPv6协议，可以换成-6-a 0/0:* 接受来自所有网段所有端口发送过来的log信息。如果只希望syslogd接收来自某特定网段的log信息可以这样写：-a 192.168.1.0/24:*-a 192.168.1.0/24:514或者-a 192.168.1.0/24表示仅接收来自该网段514端口的log信息，这也是freebsd的syslogd进程默认设置，也就是说freebsd 在接收来自其他主机的log信息的时候会判断对方发送信息的端口，如果对方不是用514端口发送的信息，那么freebsd的syslogd会拒绝接收信 息。即，在默认情况下必须：远程IP的514端口发送到本地IP的514，在参数中加入*,表示允许接收来自任何端口的log信息。这点，在记录 UNIX类主机信息的时候感觉不到加不加有什么区别，因为UNIX类主机都是用 514端口发送和接收syslog信息的。但是在接收windows信息的时候就非常重要了。因为windows的syslog软件不用514端口发送信 息，这会让默认配置的syslogd拒绝接收信息。笔者同样在linux系统下用linux的syslogd来配置log服务器，发现linux下的 syslogd就没有那么多限制，只要给syslogd加上-r参数，就可以接收来自任何主机任何端口的syslog信息，在这方面来说freebsd的 默认配置安全性要比linux稍微高一点。

修改好syslogd参数后，我们需要修改一下/etc/syslog.conf文件，指定log信息的存放路径，

比如你要记录其他系统的远程登陆登出信息并指定日志存放路径，则需要修改以下行：

authpriv.* /var/log/testlog

这表示把系统的登入登出日志（包括本机系统登陆登出日志）存放到/var/log/testlog文件中。当然，这是最简陋的做法，因为这样会把所有服务器的登陆登出信息存放在一个文件中，察看的时候很不方便，通常的做法是用一个脚本，对接收到的信息进行简单的分拣，再发送到不同的文件。

如下设置：

authpriv.* |/var/log/filter_log.sh

在记录目标前面加上“|”表示把接收到的信息交给后面的程序处理，这个程序可以是一个专门的日志处理软件，也可以是一个自己编写的小的脚本,举例：

#！/bin/sh

read stuffSERVER=`echo $stuff |awk ‘{print $4}’`echo $stuff >> /var/log/login_log/$SERVER.log

这个简单的脚本以IP作为分类依据，先用read读取log信息，用awk取出第四字段（即IP地址或者主机名所在的字段），以该字段为文件名存放该主机的日志。

这 样一来，来自192.168.1.1的log会记录到192.168.1.1.log文件中,来自192.168.1.2的log会被记录在 192.168.1.2.log文件中，分析和归类就比较方便了。当然这是一个最简单的例子，读者可以根据自己的需求写出更好的脚本，甚至把log信息分 类后插入数据库中，这样日志的管理和分析就更方便了。

最后重启一下syslogd服务，让配置生效:

/etc/rc.d/syslogd restart

OK,服务端的配置完成。现在配置一下客户端：

这里所说的客户端，就是发送自己的日志到远程日志服务器上的主机。修改/etc/syslog.conf文件：

我们举例你只要记录系统登入登出日志到远程日志服务器上，那么只需要修改以下一行:

authpriv.* @192.168.10.100这里的192.168.10.100就是log服务器的IP，“@”符号表示发送到远程主机。

OK，重启一下syslog服务:

Linux: /etc/init.d/syslogd restartBSD: /etc/rc.d/syslogd restart

用logger测试一下是否配置成功：

logger –p authpriv.notice “Hello,this is a test”

到log服务器上去看看，“Hello,this is a test”应该已经被记录下了。最后在客户机上登陆登出几次，看看真实的authpriv信息是否也被成功的记录下。

转载地址：http://btpbi.baihongyu.com/