昨天在抓包的时候,发现在514端口,有SYSLOG字段的东西,不知道是用来干啥的,现在来分析一下;
其实他是在电脑间用了syslog远程日志存储,他用udp监控了514端口的数据流,之后收集整理日志;具体实现方法如下:
原文地址:http://blog.csdn.net/hxh129/article/details/8061196
syslog远程日志存储/514端口
A机做日志数据存储服务器
B机是syslog日志产生
两个主机的/etc/syslog.conf怎么设置,才能实现日志远程存储?
B机修改/etc/syslog.conf,加入以下语句
.info @A
A机修改/etc/syslog.conf,加入以下语句
.info /var/log/everyinfo #这样所有的log信息都写到/var/log/everyinfo文件里面了
再编辑A机/etc/sysconfig/syslog,将
SYSLOGD_OPTIONS="-m 0"
修改为
SYSLOGD_OPTIONS="-r -m 0"
再重启A、B两机的syslog服务即可
配置成功则两机都有udp 514端口监听
测试:
在B机启动任一服务,看A机/var/log/everyinfo能否收到B机的log信息,能收到即表示配置成功
大家有空看看吧!说不定什么时候能派上用场 ^_^
apache的日志也可以远程保存,大家感兴趣可以去查查。