如何在Linux上配置高可用的网络安全审计

来源:语言推理作者:梦乃头衔:网络博主
导读:本期聚焦于小伙伴创作的《如何在Linux上配置高可用的网络安全审计》,敬请观看详情,探索知识的价值。以下视频、文章将为您系统阐述其核心内容与价值。如果您觉得《如何在Linux上配置高可用的网络安全审计》有用,将其分享出去将是对创作者最好的鼓励。

在Linux系统中配置高可用的网络安全审计,核心目标是保证审计服务不中断、审计数据不丢失,避免单点故障影响安全合规检查。整个方案基于rsyslog实现审计日志收集,结合keepalived实现主备节点高可用,同时搭配共享存储保证数据一致性。

如何在Linux上配置高可用的网络安全审计

环境准备

本次配置需要两台Linux服务器作为主备节点,系统版本建议为CentOS 7及以上,同时准备一台共享存储设备(如NFS服务器)用于存放审计日志。以下是节点基础信息示例:

节点角色IP地址主机名
主节点192.168.0.10audit-master
备节点192.168.0.11audit-backup
虚拟IP192.168.0.100-

部署rsyslog审计服务

rsyslog是Linux系统默认的日志服务,支持灵活的日志过滤和转发规则,适合作为网络安全审计的日志收集组件。首先在两个节点上安装rsyslog:

# 安装rsyslog
yum install -y rsyslog
# 启动服务并设置开机自启
systemctl start rsyslog
systemctl enable rsyslog

接下来配置rsyslog收集网络安全相关审计日志,编辑/etc/rsyslog.conf文件,添加以下规则:

# 开启TCP接收日志,端口为514
module(load="imtcp")
input(type="imtcp" port="514")

# 收集SSH登录审计日志,存放到共享存储目录
if $programname == 'sshd' then /mnt/audit_log/ssh_auth.log
# 收集防火墙审计日志
if $programname == 'firewalld' then /mnt/audit_log/firewall.log
# 收集sudo操作审计日志
if $programname == 'sudo' then /mnt/audit_log/sudo.log
# 所有日志同步到远程备节点(可选,作为额外备份)
*.* @@192.168.0.11:514

配置完成后重启rsyslog服务使规则生效:

systemctl restart rsyslog

配置共享存储

为了保证主备节点审计数据一致,需要将审计日志目录挂载到共享存储。这里以NFS为例,先在NFS服务器上创建共享目录并配置权限:

# NFS服务器操作
mkdir -p /data/audit_log
chmod 777 /data/audit_log
echo "/data/audit_log 192.168.0.0/24(rw,sync,no_root_squash)" >> /etc/exports
systemctl restart nfs

然后在主备节点上挂载NFS共享目录:

# 主备节点均执行
mkdir -p /mnt/audit_log
mount -t nfs 192.168.0.20:/data/audit_log /mnt/audit_log
# 设置开机自动挂载
echo "192.168.0.20:/data/audit_log /mnt/audit_log nfs defaults 0 0" >> /etc/fstab

部署keepalived实现高可用

keepalived可以通过VRRP协议实现主备节点的故障自动切换,当主节点故障时,虚拟IP会自动漂移到备节点,保证审计服务持续可用。首先在两个节点上安装keepalived:

yum install -y keepalived

编辑主节点的keepalived配置文件/etc/keepalived/keepalived.conf

global_defs {
   router_id audit_master  # 节点标识,备节点改为audit_backup
}

vrrp_instance VI_1 {
    state MASTER  # 备节点改为BACKUP
    interface eth0  # 网卡名称根据实际调整
    virtual_router_id 51
    priority 100  # 备节点优先级设为90
    advert_int 1
    authentication {
        auth_type PASS
        auth_pass 123456
    }
    virtual_ipaddress {
        192.168.0.100  # 虚拟IP地址
    }
}

# 健康检查脚本,检测rsyslog服务状态
vrrp_script check_rsyslog {
    script "/usr/bin/systemctl is-active rsyslog > /dev/null 2>&1"
    interval 2
    weight -20
}

track_script {
    check_rsyslog
}

备节点的配置文件只需修改router_idaudit_backupstateBACKUPpriority90即可。配置完成后启动keepalived服务:

systemctl start keepalived
systemctl enable keepalived

功能验证

完成所有配置后,需要验证高可用功能是否正常:

  • 在主节点上执行ip addr show eth0,确认虚拟IP 192.168.0.100已经绑定到主节点网卡
  • 模拟主节点故障,执行systemctl stop rsyslog或者关机,等待2秒后在备节点上查看虚拟IP是否漂移过来
  • 在主节点正常时,生成测试审计日志,比如执行sudo ls,检查/mnt/audit_log/sudo.log是否有对应记录
  • 主备切换后,再次执行sudo ls,确认备节点仍然可以正常收集审计日志

如果以上验证都通过,说明高可用的网络安全审计系统已经配置完成,能够稳定提供审计服务,满足企业级安全审计的高可用要求。

Linux高可用网络安全审计rsyslogkeepalived修改时间:2026-07-18 06:36:29

免责声明:​ 已尽一切努力确保本网站所含信息的准确性。网站内容多为原创整理与精心编撰,观点力求客观中立。本站旨在免费分享,内容仅供个人学习、研究或参考使用。若引用了第三方作品,版权归原作者所有。如内容涉及您的权益,请联系我们处理。
内容垂直聚焦
专注技术核心技术栏目,确保每篇文章深度聚焦于实用技能。从代码技巧到架构设计,为用户提供无干扰的纯技术知识沉淀,精准满足专业提升需求。
知识结构清晰
覆盖从开发到部署的全链路。AI、前端、编程、数据库、服务器、建站、系统层层递进,构建清晰学习路径,帮助用户系统化掌握开发与运维所需的核心技术。
深度技术解析
拒绝泛泛而谈,深入技术细节与实践难点。无论是数据库优化还是服务器配置,均结合真实场景与代码示例进行剖析,致力于提供可直接应用于工作的解决方案。
专业领域覆盖
精准对应开发生命周期。从前端界面到后端编程,从数据库操作到服务器运维,形成完整闭环,一站式满足全栈工程师和运维人员的技术需求。
即学即用高效
内容强调实操性,步骤清晰、代码完整。用户可根据教程直接复现和应用于自身项目,显著缩短从学习到实践的距离,快速解决开发中的具体问题。
持续更新保障
专注既定技术方向进行长期、稳定的内容输出。确保各栏目技术文章持续更新迭代,紧跟主流技术发展趋势,为用户提供经久不衰的学习价值。