10.4.4  设计站点日志方案

配置日志记录以便把重要的系统错误和警告保存在每台计算机上的一个文件中，在一个小型站点中这样做足够了，就像前面我们用syslog做的那样。syslog.conf文件可以针对每台主机进行定制。

在一个大型网络中，必须有中央日志记录。它使得大量信息保持在可管理的状态，而且运气好的话，破坏网络计算机安全的人可能无法访问到审计数据。黑客常常通过修改系统日志来擦去他们留下的痕迹。如果日志消息刚一产生就被转移到别的位置，那么想要破坏它就更难了。站点级的防火墙不应该让外部站点向syslogd提交消息。

但要清楚一点，任何人都可以调用syslog，并且可以伪造从任何守护进程或者应用程序来的日志项。syslog也使用UDP协议，而这个协议并不保证是可靠的，消息可能会丢失。

选择一台稳定的计算机作为日志记录服务器，最好是有很好的安全措施而且登录用户不多的一台机器。其他计算机可以使用保存在中央主机上的一个通用配置文件。因此，只需要维护两个版本的syslog.conf文件。这样可以保持日志记录的完整性，但同时对于管理员来说又不再是个恶梦。有关在网络上分布文件的更多信息，请参见第17章。
为了达到最好的安全性，syslog服务器应该通过防火墙与网络的其余部分隔离开，只能让连到syslog端口的网络连接通过，另外只能让得到允许可以向syslog记录日志的主机访问syslog服务器。根据周边的风险程度不同，可以从系统管理员的工作站用SSH连接，让管理员更方便地检查日志。

某些非常大的站点可能还需要给日志记录体系添加几个级别。遗憾的是，syslog的当前版本只能为最后一跳（hop）保留原来的主机名称。如果主机“client”将某些日志项发送到主机“server”，“server”又将它们发送到“master”，“master”只能知道消息来自“server”，而不知道是来自“client”。