大多数操作系统包括系统日志接收器,但是可能需要执行一些配置步骤来开启该接收器。查看您的操作系统或管理软件的文档,以获得系统日志接收器配置的特定详细信息。
大多数 Linux 分发版都包括捆绑的 sysklogd(8) 守护进程,其可以用作系统日志接收器,但是默认情况下禁用远程接收功能。要允许 Linux 接收系统日志通信,请编辑 /etc/sysconfig/syslog 配置文件,从而包括 -r 选项(启用远程日志记录):
SYSLOGD_OPTIONS="-r -m 0"
然后重新启动日志记录服务:
# /etc/init.d/syslog stop # /etc/init.d/syslog start
一些 Linux 分发版具有 ipfilter 包过滤器,它在默认情况下将拒绝系统日志 UDP 包,必须修改该过滤器以允许这些包。在这些分发版上,使用与下面类似的命令添加 INPUT 规则以接受系统日志 UDP 包:
# iptables -I INPUT 1 -p udp --sport 514 --dport 514 -j ACCEPT
默认情况下,Linux syslogd 将消息记录到 /var/log/messages 中,测试警报将记录为如下所示:
Aug 12 22:03:15 192.168.1.105 poptart ak: SUNW-MSG-ID: AK-8000-LM, \ TYPE: alert, VER: 1, SEVERITY: Minor EVENT-TIME: Wed Aug 12 22:03:14 2009 \ PLATFORM: i86pc, CSN: 12345678, HOSTNAME: poptart SOURCE: jsui.3775, REV: 1.0 \ EVENT-ID: 9d40db07-8078-4b21-e64e-86e5cac90912 \ DESC: A test alert has been posted. AUTO-RESPONSE: None. IMPACT: None. \ REC-ACTION: None.