系统安全日志收集方案：Linux环境下日志集中管理

在Linux系统安全运维中，日志收集与分析是威胁检测和事件响应的核心环节。本文将提供一套可复现的日志集中管理方案，适用于系统管理员和安全工程师。

1. 基础日志收集配置

首先，确保rsyslog服务正常运行并配置集中日志收集：

# 编辑rsyslog.conf文件
vim /etc/rsyslog.conf

# 添加以下行以转发日志到中央服务器
*.* @@central-log-server:514

2. SELinux日志采集配置

对于SELinux相关的安全事件，需要启用详细日志记录：

# 修改SELinux配置文件
vim /etc/selinux/config
SELINUX=permissive

# 启用审计日志记录
auditctl -w /etc/passwd -p rwxa -k passwd_change

3. 安全日志分类收集脚本

#!/bin/bash
# 日志收集脚本
LOG_DIR="/var/log/security"
mkdir -p $LOG_DIR

# 收集系统日志
journalctl -u ssh.service --since "1 hour ago" > $LOG_DIR/ssh_logs.txt

# 收集认证失败日志
grep "Failed password" /var/log/auth.log > $LOG_DIR/auth_failures.txt

# 收集系统启动日志
journalctl --since "1 day ago" | grep -i error > $LOG_DIR/system_errors.txt

4. 日志轮转策略

配置logrotate确保日志文件大小控制：

# /etc/logrotate.d/security
/var/log/security/*.log {
    daily
    rotate 7
    compress
    delaycompress
    missingok
    notifempty
    create 640 root adm
}

该方案通过rsyslog转发、SELinux审计和自定义脚本实现了多维度日志收集，为安全事件分析提供可靠数据源。