ฉันมีการตั้งค่า rsyslog ที่ใช้งานได้กับ CentOS เป็นเซิร์ฟเวอร์ของฉัน และฉันใช้ Kali เป็นไคลเอ็นต์
ฉันสามารถใช้ตัวบันทึกบน Kali เพื่อส่งข้อความบันทึกการทดสอบและดูข้อความบันทึกปรากฏในไฟล์ข้อความ CentOS และในไฟล์เฉพาะสิ่งอำนวยความสะดวกที่ฉันได้ตั้งค่าไว้ /var/log. ทั้งหมดยกเว้นข้อความเคอร์เนล
ฉันเห็นข้อความเคอร์เนลปรากฏในไฟล์ ข้อความ ไฟล์บน CentOS แต่ไม่ได้เขียนไปยังไฟล์ kernel.log ไฟล์ที่ฉันมีอยู่ /var/log.
จากนี้ฉันสรุปได้ว่าไคลเอนต์ Kali ส่งข้อความบันทึกอย่างถูกต้อง (ตามที่ได้รับและแสดงในไฟล์ข้อความ) แต่ฉันขาดบางอย่างใน rsyslog.conf ไฟล์บน CentOS
นี่คือสิ่งที่ฉันใช้เพื่อสร้างข้อความบันทึกจาก Kali:
คนตัดไม้ -t "การทดสอบใหม่" -p kern.err "การทดสอบข้อความบันทึกเคอร์เนล"
ฉันทำ ข้อความ tail -f บน CentOS และข้อความบันทึกปรากฏขึ้น อย่างไรก็ตามเมื่อฉัน แมว เดอะ kernel.log ไฟล์มันว่างเปล่า
นี่คือสิ่งที่ฉันมี rsyslog.conf บนเครื่อง CentOS คำแนะนำใด ๆ ยินดีต้อนรับ
นี่คือไฟล์ rsyslog.conf แบบเต็ม
# ไฟล์กำหนดค่า rsyslog
# สำหรับข้อมูลเพิ่มเติม โปรดดูที่ /usr/share/doc/rsyslog-*/rsyslog_conf.html
# หากคุณประสบปัญหา โปรดดูที่ http://www.rsyslog.com/doc/troubleshoot.html
#### โมดูล ####
# ตอนนี้มีการใช้โมดูล imjournal เป็นแหล่งข้อความแทน imuxsock
$ModLoad imuxsock # ให้การสนับสนุนการบันทึกระบบโลคัล (เช่น ผ่านคำสั่ง logger)
$ModLoad imjournal # ให้การเข้าถึงวารสาร systemd
$ModLoad imklog # อ่านข้อความเคอร์เนล (เหมือนกับที่อ่านจาก Journald)
$ModLoad immark # ให้ --MARK-- ความสามารถในการส่งข้อความ
# จัดเตรียมการรับ syslog ของ UDP
#$ModLoad โคลน
#$UDPServerRun 514
# จัดเตรียมการรับ TCP syslog
$ModLoad imtcp
$InputTCPServerRun 514
#### คำสั่งสากล ####
# ตำแหน่งที่จะวางไฟล์เสริม
$WorkDirectory /var/lib/rsyslog
# ใช้รูปแบบการประทับเวลาเริ่มต้น
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
# ความสามารถในการซิงค์ไฟล์ถูกปิดใช้งานตามค่าเริ่มต้น คุณลักษณะนี้มักไม่จำเป็น
#ไม่มีประโยชน์และตีประสิทธิภาพสุดขีด
#$ActionFileEnableSync เปิดอยู่
# รวมไฟล์ปรับแต่งทั้งหมดใน /etc/rsyslog.d/
$IncludConfig /etc/rsyslog.d/*.conf
# ปิดการรับข้อความผ่านซ็อกเก็ตบันทึกในเครื่อง
# ข้อความในเครื่องถูกเรียกผ่าน imjournal ในขณะนี้
$OmitLocalเข้าสู่ระบบ
# ไฟล์เก็บตำแหน่งในวารสาร
$IMJournalStateFile imjournal.state
#### กฎ ####
# บันทึกข้อความเคอร์เนลทั้งหมดไปยังคอนโซล
# การบันทึกอื่น ๆ อีกมากมายทำให้หน้าจอยุ่งเหยิง
kern.info /var/log/kernel.log
# เข้าสู่ระบบอะไรก็ได้ (ยกเว้นเมล) ของข้อมูลระดับหรือสูงกว่า
# อย่าบันทึกข้อความตรวจสอบส่วนตัว!
*.info;mail.none;authpriv.none;cron.none /var/log/messages
kern.err /var/log/kernel.log
# ไฟล์ authpriv มีการจำกัดการเข้าถึง
authpriv.* /var/log/secure
# บันทึกข้อความอีเมลทั้งหมดในที่เดียว
เมล.* /var/log/maillog
#log ข้อความ lpr ไปยังไฟล์
#lpr.* /var/log/lpr.log
# บันทึกสิ่ง cron
cron.* /var/log/cron
# ทุกคนได้รับข้อความฉุกเฉิน
*.emerg :omusrmsg:*
# บันทึกข้อผิดพลาดของข่าวในระดับ Crit และสูงกว่าในไฟล์พิเศษ
uucp,news.crit /var/log/spooler
# บันทึกข้อความบูตไปยัง boot.log
local7.* /var/log/boot.log
# ### เริ่มกฎการส่งต่อ ###
# คำสั่งระหว่างจุดเริ่มต้น ... สิ้นสุดกำหนดการส่งต่อเดียว
# กฎ. พวกเขาอยู่ด้วยกันอย่าแยกพวกเขา หากคุณสร้างหลาย
#กติกาการส่งต่อ ซ้ำทั้งบล็อค!
# การบันทึกระยะไกล (เราใช้ TCP สำหรับการจัดส่งที่เชื่อถือได้)
#
# คิวบนดิสก์ถูกสร้างขึ้นสำหรับการดำเนินการนี้ หากรีโมตโฮสต์คือ
# ลง ข้อความจะถูกสพูลไปยังดิสก์ และส่งเมื่อกลับมาทำงานอีกครั้ง
#$ActionQueueFileName fwdRule1 # คำนำหน้าชื่อเฉพาะสำหรับไฟล์สปูล
#$ActionQueueMaxDiskSpace 1g # พื้นที่จำกัด 1gb (ใช้ให้มากที่สุด)
#$ActionQueueSaveOnShutdown บน # บันทึกข้อความลงดิสก์เมื่อปิดเครื่อง
#$ActionQueueType LinkedList # ทำงานแบบอะซิงโครนัส
#$ActionResumeRetryCount -1 # ลองใหม่ไม่สิ้นสุดหากโฮสต์ไม่ทำงาน
# รีโมตโฮสต์คือ: name/ip:port เช่น 192.168.0.1:514 พอร์ตเสริม
#*.* @@รีโมตโฮสต์:514
# ### สิ้นสุดกฎการส่งต่อ ###
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
