syslog

Check Point Management Server is not only the central policy management place for Check Point products, but also holds all Check Point gateways logs. In real environment, external third party log servers sometimes will need to be used to store and analyse those logs, especially for central SIEM systems. Before R77.30, you will have to forward those logs from Management server to external syslog servers. Two previous posts have been recorded in this blog to describe the procedures how to forward Check Point logs from Management Server to external syslog server: Forwarding Checkpoint Management

There are a lot of syslog collectors for Windows, but when it comes to stability and features, NXlog has the best chances to fulfill all the requirements. Windows EventLog allows multi-line messages, so this text is a lot more readable and nicely formatted by spaces, tabs and line-breaks as can be seen in Event Viewer. Because syslog only reads/writes single-line messages, this formatting must be stripped of the EventLog message. In doing so, we lose the meta-data. NXlog is capable of reading these fields, recognize the structure and forward these remotely (or act on them for alerting purposes

参考： https://blog.csdn.net/laiyijian/article/details/77981195 问题描述： 今天发现/var/log/message里面日志记录时间和当前的date时间不一致，相差了12小时。导致计划任务日志切割没有执行。 查找原因为： 我的date时间是ntp自动同步的，log时间是有rsyslog进程控制的。 解决： service rsyslog restart 或者 /etc/init.d/rsyslog restart，执行之后时间正常 更改之后如果crontab的计划任务还是没有执行需要重启crond服务， /etc/init.d/crond restart 或者 service crond restart 来源： 51CTO 作者： 674591788 链接： https://blog.51cto.com/mrdeng/2426872

1、elk说明 elk全称： elasticsearch: 是一个分布式、高扩展、高实时的搜索与数据分析引擎;简称es logstash: 是开源的服务器端数据处理管道，能够同时从多个来源采集数据，转换数据，然后将数据发送到您最喜欢的“存储库”中;如elasticsearch中 kibana: 是为 Elasticsearch设计的开源分析和可视化平台。你可以使用 Kibana 来搜索，查看存储在 Elasticsearch 索引中的数据并与之交互。你可以很容易实现高级的数据分析和可视化，以图标的形式展现出来。 以上三个组件就是常说的elk~ 2、快速部署配置elk 1）部署环境： Centos7,本文基于7.x部署 172.16.0.213 elasticsearch 172.16.0.217 elasticsearch 172.16.0.219 elasticsearch kibana kibana只要在其中一台部署即可; 2)配置官方yum源 三台均配置repo源 $ cat /etc/yum.repos.d/elast.repo [elasticsearch-7.x] name=Elasticsearch repository for 7.x packages baseurl=https://artifacts.elastic.co/packages/7.x/yum

笔记内容：搭建ELK日志分析平台——搭建kibana和logstash服务器 笔记日期：2018-03-03 27.6 安装kibana 27.7 安装logstash 27.8 配置logstash 27.9 kibana上查看日志 27.10 收集nginx日志 27.11 使用beats采集日志 本文是上一篇 搭建ELK日志分析平台（上）—— ELK介绍及搭建 Elasticsearch 分布式集群 的后续。 安装kibana 由于上一篇中我们已经配置过yum源，这里就不用再配置了，直接yum安装即可，安装命令如下，在主节点上安装： [root@master-node ~]# yum -y install kibana 若yum安装的速度太慢，可以直接下载rpm包来进行安装： [root@master-node ~]# wget https://artifacts.elastic.co/downloads/kibana/kibana-6.0.0-x86_64.rpm [root@master-node ~]# rpm -ivh kibana-6.0.0-x86_64.rpm 安装完成后，对kibana进行配置： [root@master-node ~]# vim /etc/kibana/kibana.yml # 增加以下内容 server.port: 5601 #