不同的Linux版本,syslog服务名可能为syslog,也可能为rsyslog;以下以syslog为例说明。
Linux主机所有的日志文件一般都在/var/log下,默认只是不记录FTP的活动,Linux系统的日志文件是可以配置的,Linuxsyslog设备依据两个重要的文件:/etc/syslogd守护进程和/etc/syslog.conf配置文件。通过将需要处理的日志发送到日志审计审计中心所在的主机,日志审计审计中心就可以采集到Linux主机的日志信息了。
上面的命令可以解释为:把系统kern(内核)、User(用户进程)、Damon(系统守护进程)、Auth(与安全权限相关命令)、Uucp(Uucp程序)、Cron(记录当前登录的每个用户信息)、Wtmp(一个用户每次登录进入和退出时间的永久记录)、Authpriv(授权信息)的info(一般性消息)及以上等级的日志发送到10.115.136.69日志采集服务器。
2.以上命令表示:发送warning级以上(err,crit,alert与emerg)的所有登录登出日志(authpriv.notice),以及认证信息(auth.notice)。
Centos7以上版本重启rsyslog命令systemctlrestartrsyslog