syslog日志策略方案.docx

Syslog-ng日志管理方案联想数据中心服务器组2013年11月26日文档信息文档编号：文档名称：无锡数据中心信息日志管理系统部署手册起草人：郑煜审核人： 批准人：生效日期：发布范围：版本记录版本号版本日期修改修改章节修改记录V1.02013/10/08郑煜创建新文档V1.12013/11/26周程增加windows和linux日志管理方案添加内容V1.22013/11/27杨云波增加网络设备日志管理配置方案添加内容文档介绍编写目的本文件描述了联想MS无锡数据中心日志管理系统进行部署优化的操作步骤。适用范围本文件阅读对象为联想MS项目无锡数据中心运维团队，包括无锡mscc，技术方案中心，以及无锡数据中心安全管理团队。引用文件LogZilla Installation Guide:/index.php/LogZilla_Installation_Guide日志服务器的搭建（logzilla+syslog-ng+lamp）:/article-38.html/article-38.html术语定义syslog：系统日志Eventlog：信息安全管理体系严重性：severity 如果风险发生产生的影响的严重级别。日志管理系统概述日志管理系统主要记录无锡数据中心的服务器、网络设备、安全设备等的相关登陆和操作日志，以便对运维工程师在服务器和基础架构设备上进行的各种操作进行跟踪和审计。通常各种设备的系统日志保存在系统本地，受到系统资源的限制，无法保留较长的时间，同时保存在系统本地的时候，日志内容本身能够被高等级用户修改，难以确定信息的完整性，另外设备日志的查看需要等到的设备上一台一台的进行，设备数量较多的时候，操作工作量大，对比和查询比较困难。因此处于安全审计的要求和管理的便捷，在无锡我们需要实现系统日志的集中管理。管理的设备包括：服务器，包括linux服务器和windows网络设备，包括交换机和F5安全设备，防火墙等无锡IDC采用开源技术方案，根据前期的研究采用syslog-ng+logzilla开源方案构建日志管理系统。系统架构Syslog日志服务器IP地址：3系统架构图如下：部署示意图如下图：安装部署部署步骤序号步骤备注1关闭SELinux2开启防火墙80和514端口3安装LAMP4平台初始化5安装syslog-ng6修改syslog-ng配置文件7安装php-syslog-ng组件8修改httpd.conf配置9修改php.ini配置10修改mysql设置，启动http服务11通过web页面设置php-syslog-ng12自动分隔logzilla日志13替换脚本路径14修改config.php和db_insert.pl文件15插入测试数据（可选）16重启syslog-ng17web登陆系统18Linux客户机配置日志转发19windows客户机配置前期准备工作查看SELinux的状态#getenforce如果是开启状态，则编辑/etc/selinux/config配置文件vi /etc/selinux/config#SELINUX=enforcing #注释掉#SELINUXTYPE=targeted #注释掉SELINUX=disabled #增加配置更改后重启系统后生效Reboot#重启系统开启防火墙80和514端口vi /etc/sysconfig/iptables #编辑防火墙配置文件在文件中添加如下两条规则-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 514 -j ACCEPT安装LAMP使用yum源安装Apache，Mysql和Php，yum源的配置请参考数据中心yum配置文档yum -y install gcc gcc-c++ flex pcre pcre-devel glib2 glib2-devel openssl-devel php gd gd-devel php-gd mysql php-mysql mysql-server mysql-devel httpd平台初始化安装libnet组件，安装perl模块Text::LevenshteinXS、Digest::SHA1、Net::MySQLyum -y install libnet#如果yum安装不了，建议单独去下载rpm包后安装。cpan Text::LevenshteinXS cpan -i Digest::SHA1cpan -i Net::MySQL安装和修改配置文件安装syslog-ngeventlog将会生成