系统日志是记录系统中硬件,软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。系统日志包括系统日志,应用程序日志和安全日志。 1.rsyslog的管理 /var/log/messages ##服务信息日志 /var/log/secure ##系统登录日志 /var/log/cron ##定时任务日志 /var/log/maillog ##邮件日志 /var/log/boot.log ##系统启动日志 man 5 rsyslog.conf 查看服务的配置文件
2.日志类型分为: auth ##pam产生的日志 authpriv ##ssh,ftp等登录信息的验证信息 cron ##时间任务相关 kern ##内核 lpr ##打印 mail ##邮件 mark(syslog)-rsyslog ##服务内部的信息 news ##新闻组 user ##用户程序产生的相关信息 uucp ##unix to unix copy,unix主机之间相关的通讯 local 1~7 ##自定义的日志设备
日志级别分为: debug ## 有调式信息的,日志信息最多 info ##一般信息的日志,最常用 notice ##最具有重要性的普通条件的信息 warning ##警告级别 err ##错误级别,阻止某个功能或者模块不能正常工作的信息 crit ##严重级别,阻止整个系统或者整个软件不能正常工作的信息 alert ##需要立刻修改的信息 emerg ##内核崩溃等严重信息 none ##什么都不记录 注意:从上到下,级别从低到高,记录的信息越来越少@ udp协议 是User Datagram Protocol的简称,中文名是用户数据报协议,是OSI参考模型中一种无链接的传输层协议,提供面向事务的简单不可靠信息传送服务。 @@ tcp协议 传输控制协议,是一种面向连接的,可靠的,基于字节流的传输层通信协议。保证数据通信的完整性和可靠性,防止丢包。
systemctl restart rsyslog 重启日志
4.日志远程同步 注:网络必须连接 在日志发送方 vim /etc/rsyslog.conf 接着*.* @172.25.254.101
systemctl restart rsyslog . @172.25.254.101 日志类别 日志级别 /var/log/file 日志采集规则 5.在日志接受方: vim /etc/rsyslog.conf 15 $ModLoad imudp ##开启接收模块 16 $UDPServerRun 514 ##开启接收端口
systemctl restart rsyslog systemctl stop firewalld ##关闭防火墙 systemctl disable firewalld ##设定防火墙开机不启动
测试: 在日志发送和接受方都清空日志
/var/log/messages
在日志发送方 logger test 在发送方和接收方都可以查看到日志 cat /var/log/messages
6.日志采集格式的设定 当前采集日志的格式: 主机名:用户 vim /etc/rsyslog.conf
$template LOGFMT, “%timegenerated% %FROMHOST0-IP% %syslogtag% %msg%\n”
%timegenerated% ##显示日志时间 %FROMHOST-IP% ##显示主机IP %syslogtag% ##日志记录目标 %msg% ##日志内容
*.* /var/log/westos;LOGFMT7.时间同步服务 服务名称 chronyd
在服务端 vim /etc/chrony.conf 22 allow 172.25.254.0/24 ##允许那些客户端来同步本机器时间 29 local stratum 10 ##本机不同步任何主机的时间,本机作为时间源 systemctl restart chronyd
在客户端 vim /etc/chrony.conf server 172.25.254.100 iburst ##本机立即同步100这台主机的时间 systemctl restart chronyd
测试: 在客户端 [root@client ~]# chronyc sources -v 210 Number of sources = 1 .-- Source mode ‘^’ = server, ‘=’ = peer, ‘#’ = local clock. / .- Source state '’ = current synced, ‘+’ = combined , ‘-’ = not combined, | / ‘?’ = unreachable, ‘x’ = time may be in error, ‘~’ = time too variable. || .- xxxx [ yyyy ] +/- zzzz || / xxxx = adjusted offset, || Log2(Polling interval) -. | yyyy = measured offset, || \ | zzzz = estimated error. || | | MS Name/IP address Stratum Poll Reach LastRx Last sam ^ 172.25.254.200 10 6 377 5 -8217ns[ -58us] +/- 113us
8.timedatectl 命令 timedatectl 管理系统时间,查看当前的时区和时间信息 timedatectl set-time 设定当前时间 timedatectl set-timezone 设定当前时区 timedatectl set-local-rtc 0|1设定是否使用utc时间 cat /etc/adjtime 查看是否使用utc时间 timedatectl list-timezones 查看支持的所有时区 timedatectl set-time “2018-10-13 12:00” 9.journal命令(此日志存在于内存中) 1,journalctl 日志查看工具 -n 3 查看最近三条 -p err 查看错误日志 -o verbose _UID=(进程uid) _GID=(进程gid) _HOSTNAME=(进程所在主机) _SYSTEMD_UNIT=(服务名称) _COMM=(命令名称)
10.查看日志的详细参数 –since 查看从什么时间开始的日志 –until 查看到什么时间为止的日志 例如:journalctl --since “2018-10-13 12:00” --until “2018-10-13 14:00”
12,如何使用systemd-journal保存系统日志
mkdir /var/log/journal 新建一个目录 chgrp systemd-journal /var/log/journal 令新建的目录属于systemd-journal这个组 chmod g+s /var/log/journal 给新目录加上强制位,令此目录生产的文件都属于目录的属组 ps aux | grep systemd-journal 过滤出进程名中含有systemd-journal的进程 killall -1 systemd-journald 重新加载systemd-journald
ls /var/log/journal 查看目录中有什么文件 cd /var/log/journal,然后ll,查看目录里的文件是什么时候开始的
1,什么是IP address internet protocol address ipv4 internet protocol version 4 a .ip是由32个二进制的0和1组成 11111110.11111110.11111110.11111110=254.254.254.254 2.子网掩码 用来划分网络区域 (netmask) 子网淹码非0位对应的ip上的数字表示这个ip 的网络位 子网掩码0对应的数字是ip的主机位 网络位表示网络区域 主机位表示网络区域内的某主机 255.255.255.0 前三位网络位,最后一位主机位 3.ip通信判定
网络位一致,主机位不一致的两个ip可以直接通信 172.25.254.1/24 24=255.255.255.0 172.25.254.2/24 ----------小区域找大区域不一定 172.25.0.1/16 ----------从大的区域去找小的区域能找到用命令更改的只是临时更改
4.网络设定工具 device在此处指你的本机设备的网络名 ping 检测网络是否通畅 ifconfig 查看或设定网络接口 ifconfig device ip/24 设定ip ifconfig device down 关闭接口 ifconfig device up 开启接口 ip addr show 详细查看网络接口 5.图形方式设定ip 1.nm-connection-editor 图形界面 2.nmtui 非图形界面
6.命令方式设定网络
nmcli NetworkManager必须开启 nmcli device show eth0 查看网卡信息 nmcli device status eth0 查看网卡服务接口信息 nmcli device connect eth0 启用eth0网卡 nmcli device disconnect eth0 关闭eth0网卡
nmcli connection show nmcli connection down westos nmcli connection up westos nmcli connection delete westos nmcli connection add type ethernet con-name westos ifname eth0 ip4 172.25.254.101/24(接着图形操作)
nmcli connection modify westos ipv4.method auto nmcli connection modify westos ipv4.method manual nmcli connection modify westos ipv4.addresses 172.25.254.150/24 nmcli connection show
connection 后面接链接名称 device 后面接设备 7.管理网络配置文件 网络配置目录 /etc/sysconfig/network-scripts/ifcfg-eth0 网络配置文件的命令规则 ifcfg-xxx DEVICE=xxx 设备名称 ONBOOT=yes 网络服务开启时自动激活网卡 BOOTPROTO=dhcp|static|none设备工作方式(dhcp自动匹配,static和none都表示手动添加) IPADDR= 172.25.254.101 添加ip地址 PREFIX=24 子网掩码 NETMASK=255.255.255.0 子网掩码 NAME=westoss 接口名称(可有可无) systemctl restart network 重启网络
例如: 静态网络配置文件: DEVICE=eth0 ONBOOT=yes BOOTPROTO=none IPADDR=172.25.254.101 PREFIX=24 NAME=westos
systemctl restart network
一块网卡上配置多个IP vim /etc/sysconfig/network-scripts/ifcfg-eth0 DEVICE=eth0 ONBOOT=yes BOOTPROTO=none IPADDR0=172.25.254.101 PREFIX0=24 NAME=westos IPADDR1=172.25.254.101 PREFIX1=24
systemctl restart network
ip addr show eth0
8.lo回环接口
内部服务之间沟通的桥梁
9.网关 1.把真实主机变成路由器 firewall-cmd --list-all显示防火墙状态 firewall-cmd --permanent --add-masquerade开启masquerade firewall-cmd --reload重新加载防火墙 firewall-cmd --list-all
masquerade:yes <---表示地址伪装功能开启,物理机变成路由器2.设定虚拟机网关 vim /etc/sysconfig/network 全局网关,针对所有没有设定网关的网卡生效
vim /etc/sysconfig/network-scripts/ifcfg-eth0 GATEEWAY0=172.25.254.111 当网卡中设定的IP有多个时,指定对于那个IP生效 GATEWAY=172.25.254.111 当网卡中只设定一个IP时[root@server ~]# route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 0.0.0.0 “172.25.254.2” 0.0.0.0 UG 1024 0 0 eth0 172.25.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 172.25.254.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
虚拟机上连接ip
注意:修改完成之后要重启网络 systemctl restart network10.设定dns dns=domain name system
vim /etc/hosts 本地解析文件 ip 域名 61.135.169.125 www.baidu.com
vim /etc/resolv.conf dns指向文件 nameserver 114.114.114.114 当需要某个域名的IP地址时去问114.114.114.114
vim /etc/sysconfig/network-scripts/ifcfg-eth0 DNS1=114.114.114.114 注意: 当网络工作模式为dhcp时 系统会自动获得ip网关dns /etc/resolv.conf会被获得到的信息修改 如果不需要获得dns信息,在网卡配置文件中加入PEERDNS=no
11.设定解析的优先级 系统默认: /etc/hosts > /etc/resolv.conf
vim /etc/nsswitch.conf 39 hosts: files dns ##/etc/hosts优先 重启物理机网络虚拟机掉线 方法 1.命令方式,在物理机中操作 brctl show brctl addif br0 vnet0 brctl addif br0 vnet1 ##添加虚拟机设备
方法 2. 虚拟机poweroff ,再打开 12.dhcp服务配置 在服务端: yum install dhcp cp /usr/share/doc/dhcp*/dhcpd.conf.example /etc/dhcp/dhcpd.conf vim /etc/dhcp/dhcpd.conf
# dhcpd.conf # Sample configuration file for ISC dhcpd # # option definitions common to all supported networks...option domain-name “westos.com”; option domain-name-servers 172.25.254.250;
default-lease-time 600; max-lease-time 7200;
#ddns-update-style none;
#authoritative;
log-facility local7;
This is a very basic subnet declaration.
subnet 172.25.254.0 netmask 255.255.255.0 { range 172.25.254.150 172.25.254.200; option routers 172.25.254.250; } systemctl start dhcpd 可以在服务端和客户端看到IP分配的记录 服务端: /var/lib/dhcpd/dhcpd.leases 客户端: /var/log/messages
测试: 在网络工作模式是dhcp的主机中重启网络,可以看到ip网关dns全部获取成功
