● syslogd的扩展用法(lgwu jesse) - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: ainny (为你等待), 信区: Hacker
标  题: syslogd的扩展用法(lgwu jesse)
发信站: BBS 荔园晨风站 (Tue Mar 28 12:53:44 2000), 转信

发信人: cloudsky (小四), 信区: Security
标  题: syslogd的扩展用法(lgwu jesse)
发信站: 武汉白云黄鹤站 (Sat Mar 25 23:55:17 2000), 站内信件

by lgwu&jesse

对于没有在标准的facility中的log可以利用logger如下处理:

首先要在/etc/hosts中定义loghost别名，然后如可用管道的
就将log文件定义成"| logger -p xxx.xxx"的形式，不然就
定时将log文件用 logger -p xxx.xxx -f log文件的方法
发过去，并将log清空。如:

apache的log:

可以应用local0.*,

我们在httpd.conf中加入:
CustomLog "| logger -p local0.info" common

而在loghost中的syslog.conf加入
local0.*        /var/log/apache

我们在httpd.conf中加入:
CustomLog "| logger -p local0.info" common

而在loghost中的syslog.conf加入
local0.*        /var/log/apache

mysql的log:

可以应用local1.*,

一般都没在记log, 如果记了可以在crontab中加
*/20 * * * * mv /var/log/mysql.log /var/log/mysql.log.old;logger
        -p local1.info -f /var/log/mysql.log.old;rm -f /var/log/mysql.log.old

而在loghost中的syslog.conf加入
local1.*        /var/log/mysql
这样做对流量统计有非常大的好处。统计流量可以非常方便的只在loghost上做
减轻了不少工作量.但是也有问题,比如说这个/var/log/apache文件会非常大.
频繁的文件open/close会影响系统的效率.应该予以分卷打包或者转走。
为了察看纪录的方便，可以使用第三方的log分析软件
http://www.psionic.com/tools/logcheck-1.1.1.tar.gz(info from isbase)

这样做对流量统计有非常大的好处。统计流量可以非常方便的只在loghost上做
由此想起来了一个比较严重的安全隐患.
freebsd默认是允许接受其他机器的syslog转发的packet的.这样恶意的攻击者可以
简单的用logger转发一些巨大的数据量给freebsd syslogd.造成系统资源的
恶意侵占.必须予以关闭接受(在/etc/rc.conf里面加上syslogd_flags="-s")
开机的情况下，先杀掉syslogd,然后用-s参数启动syslogd
linux默认是不打开这个接受的。//hammer freebsd!

--
            我问飘逝的风：来迟了？
            风感慨：是的，他们已经宣战。
            我问苏醒的大地：还有希望么？
            大地揉了揉眼睛：还有，还有无数代的少年。
            我问长空中的英魂：你们相信？
            英魂带着笑意离去：相信，希望还在。

※ 来源:．武汉白云黄鹤站 bbs.whnet.edu.cn．[FROM: 203.207.226.124]

--
☆ 来源:．BBS 荔园晨风站 bbs.szu.edu.cn．[FROM: bbs@192.168.28.23]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店