日志审计接入配置指南

日志审计服务器地址：xx.xx.xx.xx

Window需要安装nxlog获取服务器日志

安装完成后配置文件路径为：安装路径\conf\nxlog.conf

默认为C:\Program Files\nxlog\conf\nxlog.conf

注意：请勿更改默认安装路径，nxlog.conf文件编辑请使用notepad++，否则可能启动报错。

1.1 配置采集主机日志

安装完成后将下方的nxlog.conf文件将原配置文件覆盖

适用于2003版本以后的windows server

适用于2003版本及以前的windows server

注意：如更改了默认安装路径，请同步修改nxlog.conf文件中的工作路径

1.2 重启nxlog服务

服务中重新启动nxlog服务

重启完成后查看nxlog.log是否有报错，无报错则运行正常，有报错可联系楚天云安全运维人员

nxlog.log日志路径：安装路径\data\nxlog.log

默认路径为：C:\Program Files\nxlog\data\nxlog.log

2 Linux日志采集配置

说明：服务器上默认已安装rsyslog，但我们发现部分系统使用syslog-ng记录系统日志，由于rsyslog和syslog-ng无法同时工作，请按需选择rsyslog或syslog-ng,同时停止未使用的服务并禁止自启动。

使用命令ps -ef | grep syslog查看系统使用的个日志服务

2.1 rsyslog配置

2.1.1 配置采集主机系统日志

编辑rsyslog配置文件

vim /etc/rsyslog.conf   

在文件最后一行添加

*.* @xx.xx.xx.xx:端口

2.1.2 检查rsyslog配置文件

执行命令：rsyslogd -N 1    

回显如下说明配置文件正常，未报错

2.1.3 重启rsyslog服务生效

systemctl restart rsyslog.service

2.2 syslog-ng配置

2.2.1 配置采集主机系统日志

编辑syslog-ng配置文件：vim /etc/syslog-ng/syslog-ng.conf

在配置文件最后插入下列配置：

### Syslog-ng Systemlog Config for Cty LogService ###

# Destination

destination d_ctylogserver {

syslog("xx.xx.xx.xx" transport("udp") port(端口));

};

# Log rule

log {

source(s_sys);

destination(d_ctylogserver);

};

### END Syslog-ng Systemlog Config for Cty LogService ###

2.2.2 检查syslog-ng配置文件

执行如下命令

syslog-ng -s -f /etc/syslog-ng/syslog-ng.conf

2.2.3 重启syslog-ng服务生效

systemctl restart syslog-ng