操作系统的日志主要具有审计与监测的功能，通过对日志信息的分析，可以检查错误发生的原因，监测追踪入侵者及受到攻击时留下的痕迹，甚至还能实时的进行系统状态的监控。有效利用日志信息并对其进行分析与实时的监控管理，对于系统的安全性具有极为重要的作用。本文就是和大家探讨如何利用linux日志系统来管理系统更轻松。对于日志信息的管理通常采用两种方法，一种方法是不同服务器的日志信息都存放在各自系统内，系统管理员对各服务器进行分散管理。另一种方法则是使用日志主机系统，这是一个从其他主机收集日志，并将它们存放在同一个地方的系统，很容易使来自多个主机的日志条目关联起来，对其进行统一管理 、分析，甚至配合自动化工具进行实时的监控，有效提高管理的效率。

　　第一种方法往往是大多数系统管理员的常用的方法，这种传统的管理方法在服务器数量较少时还能勉强应付，但在处理多主机状况时却并非一种有效的方法。本文主要讲述二种日志管理方法，探寻一种提高系统管理效率的途径。

　　一、日志主机系统的部署

　　日志主机系统包括日志主机及各主机系统两个部分，其中日志主机相当于服务器端，而各主机系统相当于客户端，将日志信息实时的传送到日志主机上来。

　　1. 日志主机的部署

　　日志主机采用一台RHEL 5.4系统的服务器（假设其主机名为loghost），日志收集软件采用Linux平台上的Sysiog，Sysiog一般都随Linux系统安装时已经安装，对于我们部署整个系统提供了极大的便利性，因此在此不对其安装步骤进行阐述，仅讲述其配置方法。

　　Sysiog既可作为客户端，也可作为服务器端，并且支持远程的日志收集。其配置文件为/etc/sysconfig/sysiog，要配置其作为服务器端，需对此配置文件相应部分改为如下所示：

　　SYSLOGD_OPTIONS＝“-r-m 0”

　　“-r”选项使syslog接收客户端的远程日志信息。

　　重启Syslog服务器端使配置生效：

　　#service syslogd restart

　　Syslog采用514端口监听来自各客户端的日志信息，因此需要在日志主机的防火墙上开放514端口，以iptables为例，对特定网段开放514端口： /sbin/iptables_A INPUT _ietho_p tcp_s 192.168.0.0/16_dport 514_syn_j ACCEPT

　　2.客户端的部署

　　◆ Linux平台下客户端的部署

　　在Linux平台下依然选择Sysiog作为客户端进行部署，此时此配置文件为/etc/sysiog.conf，其默认配置为（仅以/var/ log/message日志为例）：

　　*.info；mail.none；authpriv.none；cron.none   /var/log/messages

　　/var/log/message即Sysolg存放系统日志的绝对路径，将此值替换为日志主机名即可，示例如下：

　　*.info；mail.none；authpriv.none；cron.none  @loghost

　　依上述配置，当Syslog重启使用配置生效后，客户端服务器的日志信息将会实时的传送到日志主机的/var/log/message文件里，对各服务器的日志信息进行统一的管理。

　　使用如下命令重启Syslog服务使配置生效：

　　#service syslogd restart

　　依上述方法将其他系统日志信息（如/var/log/secure）导入到日志主机上。

　　笔者建议，采用添加配置而非修改的方法，同时在本地及日志主机上保存系统日志。