syslog的远程备份

需要备份的服务器：192.168.1.90
日志服务器：192.168.1.100
第一步：在日志服务器上面
vi  /etc/sysconfig/syslog

SYSLOGD_OPTIONS=” -m 0 ”
改为：
 SYSLOGD_OPTIONS=” -r   -m 0 ”
 
 
 第二部：在需要备份的服务器上面:192.168.1.90上面
 vi  /etc/syslog.conf
 
 
最后一行加一行
 
 
 *.*             @192.168.1.100
 
 意思就是把所有的日志备份到192.168.1.100上面
 
 *.*后面要有空格哦
 
 
 第三部：
    重启日志服务器上面的syslog服务
    重启需要备份的日志服务器上面的syslog服务
   
    service  syslog  restart
   
   
   
   
    **************************************************************************
    其他具体
   
   
    syslog的webserver备份到logserver中
2007-12-17 12:13
准备工作

wwwserver: web服务器.
logserver: log服务器, 专门的日志服务器, 用于保护wwwserver的日志.

wwwserver的ip: 10.0.0.2
logserver的ip: 10.0.0.1

本文使用Redhat AS4来做Linux日志服务器. 请确认web服务器中的
二. 系统配置
1.wwwserver的apache的配置文件中虚拟主机文件是

NameVirtualHost 10.0.0.2:80
<VirtualHost 10.0.0.2:80>
DocumnetRoot /usr/local/apache2/htdocs/www.book.com
serveradmin root@book.com
serverName www.book.com
ErrorLog “| /usr/bin/logger -p local4.error”
CustomLog “| /usr/bin/logger -p local5.access” common

2.修改wwwserver机器上的配置文件，指定远程日志服务器的未知
   配置wwwserver的syslog.conf

修改web服务器syslog的配置文件/etc/syslog.conf, 告诉syslogd进程
传输本系统的日志信息到logserver 10.0.0.2上.

[root@wwwserver /]# vi /etc/syslog.conf

添加下面的代码到syslog.conf中:
*.*      @10.0.0.1

local4.error    @10.0.0.1
local5.access    @10.0.0.1

3. 在wwwserver机器上重启syslogd

完成步骤一后, 重启syslogd以使用新的配置:

[root@wwwserver /]# /etc/init.d/syslog restart
4. 配置wwwserver机器的防火墙

添加允许从wwwserver的514端口传输udp封包到logserver的防火墙策略.

[ root@wwwserver /] /sbin/iptables -A OUTPUT -p udp -i eth0 -s
210.77.144.2 -d 210.77.144.1 –destination-ports:514 -j ACCEPT

注: 端口514用于syslog程序.

[root@wwwserver /]# cat /etc/services|grep 514/udp
syslog 514/udp

[root@wwwserver /]# /usr/sbin/lsof -i:514
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
syslogd 18014 root 10u IPv4 131882 UDP *:syslog
4. 配置logserver机器

到现在为止, 我们已经设置了允许web服务器发送日志信息到专用
日志服务器logserver. 接下来设置日志服务器能从Web服务器接受
日志文件信息.

[root@www /]# ps -aux|grep syslogd
root 2612 0.0 0.0 1440 340 ? S Feb03 0:01 syslogd -m 0

从上面可以看到syslogd进程号为1292, 我们需要停止syslogd
进程, 然后配置syslogd和重新启动.

[root@log /]# kill 1292

现在syslog进程已经终止, 我们需要重新启动syslog并启动
syslog的”远程接受(remote reception)”功能.

[root@log /]# vi /etc/sysconfig/syslog
      
       SYSLOGD_OPTIONS=”-r -m 0″
       KLOGD_OPTIONS=”-x”
5. 确认日志服务器的syslog进程正确配置

检查/var/log/messages日志文件确认syslogd已重启

[root@log /]# tail -f /var/log/messages

在文件的底层你能看见:

Feb 11 14:52:42 log syslogd 1.4.1: restart (remote reception).

这样syslogd已经工作了.

6. 防火墙配置

在你的日志服务器上添加下面防火墙策略, 允许来自web服务器512端口的
udp数据传输到logserver上.

[root@log]# /sbin/iptables -A INPUT -p udp -i eth0 -s
210.77.144.2 -d 210.77.144.1 –sport 514 -j ACCEPT

四. 测试

最后一步我们需要做的是验证所有的配置是否正常工作. 我们可以这样来
做, 首先从wwwserver登出和登陆:

[root@wwwserver /]# logout
Login: root
Password: xxxxxxxxxx

然后检查logserver上的日志文件/var/log/messages或者/var/log/secure)
, 可以看到下面的记录:
Feb 26 20:29:02 wwwserver login[1623]: ROOT LOGIN on `tty2

从上面可以看出webserver上的root登陆记录到了logserver的日志文件中.
测试完毕.