管理登錄文件是網絡管理的重要一部分。每個Linux都具有Syslog的標准功能,它既能登錄本地文件,又能登錄遠程系統。如果你要在一台被攻陷的機器上查看登錄文件,特別是在你不太確定攻擊者是否已清除登錄文件,銷毀登錄蹤跡的情況下,它的作用就尤其關鍵了。 安裝syslog進行遠程登錄是及其容易的。你只需在你准備收到登錄記錄的系統上,使用-r選項,配置syslog,這樣就可以讓你接收到遠程登錄的記錄。 比如,在Mandrake Linux系統上,編輯/etc/sysconfig/syslog文件,根據如下所列改變SYSLOGD_OPTIONS的參數。 SYSLOGD_OPTIONS="-r -m 0" 下一步,重新啟動syslog服務。你也應該確保該機器上的防火牆允許從其它發送登錄記錄的機器訪問UDP端口514。 在你要發送登錄記錄的系統上,修改/etc/syslog.conf文件,增加類似如下的內容到末尾; *.info @loGhost.mydomain.com 這就表示syslog發送所有 *.info等級的登錄記錄到loghost.mydomain.com的主頁。你能夠改變你想要進行遠程登錄的設施,但是*.info通常是充分的。在這台機器上,也同樣重新啟動syslog,確保防火牆允許從本地主機的UDP端口514上,發送到遠程機器。 一個主機上的登錄記錄應該此刻就出現在遠程主機上,同時包括該主機自己的登錄信息。比如,你的登錄文件是這樣的: Jan 8 13:23:22 loghost fam[3627]: connect: Connection refused Jan 8 13:23:24 remote.mydomain.com su(pam_unix)[3166]: session closed for user root 正如你從/var/log/messages片斷看到的一樣,syslog登錄信息是與loghost(當地機器)和遠程mydomain.com(遠程主機)同樣的文件。這時,安裝登錄監督到登錄主機上,用來提醒你想要監督的任何特定的內容(比如失敗的登錄)。