Ubuntu网络审计日志配置（手把手教你设置系统日志实现网络安全监控）

一、什么是网络审计日志？

网络审计日志是指系统记录的与网络连接、服务访问、用户登录等相关事件的日志信息。这些日志通常由系统日志服务（如rsyslog或syslog-ng）管理，是网络安全监控的重要组成部分。

二、准备工作

在开始配置前，请确保：

• 你使用的是Ubuntu 20.04或更高版本
• 你拥有sudo权限
• 系统已更新：运行 sudo apt update && sudo apt upgrade -y

三、启用并配置rsyslog服务

Ubuntu默认使用rsyslog作为系统日志服务。我们首先确认其是否正在运行：

sudo systemctl status rsyslog

如果未运行，请启动并设置开机自启：

sudo systemctl start rsyslogsudo systemctl enable rsyslog

四、配置网络相关日志记录

为了增强系统日志配置的安全性，我们需要修改rsyslog配置文件，专门记录网络活动。

1. 编辑主配置文件：

sudo nano /etc/rsyslog.conf

2. 确保以下行未被注释（即前面没有#）：

$ModLoad imuxsock   # provides support for local system logging$ModLoad imklog     # provides kernel logging support$ModLoad imudp      # enables UDP input$UDPServerRun 514   # listens on UDP port 514

3. 创建一个专门用于网络审计的日志文件。在配置文件末尾添加：

# Network audit log:msg, contains, "connection" /var/log/network-audit.log:msg, contains, "ACCEPT" /var/log/network-audit.log:msg, contains, "DROP" /var/log/network-audit.log& stop

4. 保存并退出（在nano中按 Ctrl+O 回车，再按 Ctrl+X）。

五、配置iptables记录网络事件

为了让防火墙事件写入日志，我们需要配置iptables规则：

# 记录所有被拒绝的连接sudo iptables -A INPUT -j LOG --log-prefix "[IPTABLES DROP] " --log-level 4# 记录所有被接受的连接（可选，可能产生大量日志）sudo iptables -A INPUT -j LOG --log-prefix "[IPTABLES ACCEPT] " --log-level 6

这些日志会被rsyslog捕获，并根据前面的规则写入 /var/log/network-audit.log。

六、重启服务并验证

完成配置后，重启rsyslog服务使更改生效：

sudo systemctl restart rsyslog

现在你可以查看网络审计日志：

sudo tail -f /var/log/network-audit.log

尝试从另一台机器ping你的Ubuntu服务器，你应该能在日志中看到相关记录。

七、日志轮转设置（防止日志过大）

为避免日志文件无限增长，建议配置logrotate：

sudo nano /etc/logrotate.d/network-audit

添加以下内容：

/var/log/network-audit.log {    daily    missingok    rotate 7    compress    delaycompress    notifempty    create 640 root adm    postrotate        /usr/lib/rsyslog/rsyslog-rotate    endscript}

八、总结

通过本教程，你已经成功完成了Ubuntu网络审计日志的基础配置。这不仅增强了系统的网络安全监控能力，也为后续的安全分析和故障排查提供了有力支持。记住定期检查日志内容，并根据实际需求调整过滤规则。

如果你希望进一步提升安全级别，可以考虑将日志发送到远程日志服务器，或使用ELK（Elasticsearch, Logstash, Kibana）等工具进行可视化分析。

掌握系统日志配置是每个Linux系统管理员的必备技能，也是实施有效syslog配置教程的关键一步。祝你在网络安全之路上越走越远！