在Linux系统中配置高可用的网络安全审计,核心目标是保证审计服务不中断、审计数据不丢失,避免单点故障影响安全合规检查。整个方案基于rsyslog实现审计日志收集,结合keepalived实现主备节点高可用,同时搭配共享存储保证数据一致性。

环境准备
本次配置需要两台Linux服务器作为主备节点,系统版本建议为CentOS 7及以上,同时准备一台共享存储设备(如NFS服务器)用于存放审计日志。以下是节点基础信息示例:
| 节点角色 | IP地址 | 主机名 |
|---|---|---|
| 主节点 | 192.168.0.10 | audit-master |
| 备节点 | 192.168.0.11 | audit-backup |
| 虚拟IP | 192.168.0.100 | - |
部署rsyslog审计服务
rsyslog是Linux系统默认的日志服务,支持灵活的日志过滤和转发规则,适合作为网络安全审计的日志收集组件。首先在两个节点上安装rsyslog:
# 安装rsyslog yum install -y rsyslog # 启动服务并设置开机自启 systemctl start rsyslog systemctl enable rsyslog
接下来配置rsyslog收集网络安全相关审计日志,编辑/etc/rsyslog.conf文件,添加以下规则:
# 开启TCP接收日志,端口为514 module(load="imtcp") input(type="imtcp" port="514") # 收集SSH登录审计日志,存放到共享存储目录 if $programname == 'sshd' then /mnt/audit_log/ssh_auth.log # 收集防火墙审计日志 if $programname == 'firewalld' then /mnt/audit_log/firewall.log # 收集sudo操作审计日志 if $programname == 'sudo' then /mnt/audit_log/sudo.log # 所有日志同步到远程备节点(可选,作为额外备份) *.* @@192.168.0.11:514
配置完成后重启rsyslog服务使规则生效:
systemctl restart rsyslog
配置共享存储
为了保证主备节点审计数据一致,需要将审计日志目录挂载到共享存储。这里以NFS为例,先在NFS服务器上创建共享目录并配置权限:
# NFS服务器操作 mkdir -p /data/audit_log chmod 777 /data/audit_log echo "/data/audit_log 192.168.0.0/24(rw,sync,no_root_squash)" >> /etc/exports systemctl restart nfs
然后在主备节点上挂载NFS共享目录:
# 主备节点均执行 mkdir -p /mnt/audit_log mount -t nfs 192.168.0.20:/data/audit_log /mnt/audit_log # 设置开机自动挂载 echo "192.168.0.20:/data/audit_log /mnt/audit_log nfs defaults 0 0" >> /etc/fstab
部署keepalived实现高可用
keepalived可以通过VRRP协议实现主备节点的故障自动切换,当主节点故障时,虚拟IP会自动漂移到备节点,保证审计服务持续可用。首先在两个节点上安装keepalived:
yum install -y keepalived
编辑主节点的keepalived配置文件/etc/keepalived/keepalived.conf:
global_defs {
router_id audit_master # 节点标识,备节点改为audit_backup
}
vrrp_instance VI_1 {
state MASTER # 备节点改为BACKUP
interface eth0 # 网卡名称根据实际调整
virtual_router_id 51
priority 100 # 备节点优先级设为90
advert_int 1
authentication {
auth_type PASS
auth_pass 123456
}
virtual_ipaddress {
192.168.0.100 # 虚拟IP地址
}
}
# 健康检查脚本,检测rsyslog服务状态
vrrp_script check_rsyslog {
script "/usr/bin/systemctl is-active rsyslog > /dev/null 2>&1"
interval 2
weight -20
}
track_script {
check_rsyslog
}
备节点的配置文件只需修改router_id为audit_backup、state为BACKUP、priority为90即可。配置完成后启动keepalived服务:
systemctl start keepalived systemctl enable keepalived
功能验证
完成所有配置后,需要验证高可用功能是否正常:
- 在主节点上执行
ip addr show eth0,确认虚拟IP 192.168.0.100已经绑定到主节点网卡 - 模拟主节点故障,执行
systemctl stop rsyslog或者关机,等待2秒后在备节点上查看虚拟IP是否漂移过来 - 在主节点正常时,生成测试审计日志,比如执行
sudo ls,检查/mnt/audit_log/sudo.log是否有对应记录 - 主备切换后,再次执行
sudo ls,确认备节点仍然可以正常收集审计日志
如果以上验证都通过,说明高可用的网络安全审计系统已经配置完成,能够稳定提供审计服务,满足企业级安全审计的高可用要求。
Linux高可用网络安全审计rsyslogkeepalived修改时间:2026-07-18 06:36:29