一.日志采集
(1)linux系统日志
功能:审计和监测.它还可以实时的监测系统状态,监测和追踪侵入者等等
日志对于安全来说,非常重要,它记录了系统每天发生的各种各样的事情,你可以通过它来检查错误发生的原因,或者受到攻击时,攻击者留下的痕迹.
“ /var/log ”是存放日志的位置,“ rsyslog ”负责采集日志和分类存放日志
rsyslog.service服务的作用:采集日日志而不是产生日志
(1)日志类型
auth #用户登陆日志(pam生日志)
authpriv #服务认证日志(sshd认证)
kern #内核日志
cron #定时任务日志
lpr #打印机日志
mail #邮件日志
news #新闻
user #用户相关程序日志
local 1-7 #用户自定义日志
(2)日志级别
debug #系统调试信息
info #常规信息
warning #警告信息
err #报错(级别低,阻止了某个工作不能正常工作)
crit #报错(级别高,阻止了整个软件或整个系统不能正常工作)
alert #需要立即修改的信息
emerg #内核崩溃
none #不采集任何日志信息
(3)系统常用日志
/var/log/messages #所有日志级别的常规信息(不包含邮件,服务认证,定时任务)
/var/log/maillog #邮件认证
/var/log/secure #服务认证日志
/var/log/cron #定时任务日志
(4)管理日志的配置文件
vim /etc/rsyslog.conf 查看并修改采集日志文件配置,使我们能够采集日志到指定位置
二、日志采集
日志的远程同步:
准备工作:
(1)打开两个虚拟机(desktop和server)并更改他们的ip(可用nm-connection-editor #图形设定ip)
(2)更改两个虚拟机的名称(hostname 显示主机名 sudo hostname node1
将虚拟机的名字临时改为node1)(hostname 显示主机名 sudo hostname node2
将虚拟机的名字临时改为node2)
(3)在真机中打开两个shell,用ssh命令分别连接两个虚拟机(注:ctrl+shift+t #再打开一个shell)
实验环境:
node1(desktop): 客户端 172.25.254.126(接受方)
node2(sesrver): 服务端 172.25.254.226(发送方)
(1)接受方做调式
systemctl stop firewalld.service 首先关闭火墙
vim /etc/rsyslog.conf 接收方打开UDP配置
systemctl restart rsyslog.service 重启日志
> /var/log/messages 清空日志
cat /var/log/messages 查看日志
(2)发送方做调式
vim /etc/rsyslog.conf
systemctl restart rsyslog.service
*.* 文件名称(绝对路径) 日志类型.日志级别 日志存放的文件
vim /etc/rsyslog.conf
systemctl restart rsyslog
在47行加入$template messages,"%timegenerated% %FROMHOST—IP% %syslogtag% %msg%\n
在54行加入54 *.info;mail.none;authpriv.none;cron.none /var/log/messages;westos
(定义为westos格式)
二.journalctl命令
一种改进的日志管理服务,是 rsyslog 的补充,收集来自内核、启动过程早期阶段、标 准输出、系统日志,守护进程启动和运行期间错误的信息
.syslog 的信息也可以由 systemd-journald 转发到 rsyslog 中进一步处理3.syslog 的信息也可以由 systemd-journald 转发到 rsyslog 中进一步处理
格式:journalctl + 参数 日志的查看
具体参数的含义:
-p err #查看报错日志
-f #监控 (用户ctrl+c结束监控)
-n 3 #最新(new)的三条日志
-o verbose #查看日志详细参数
journalctl _PID=84 #直接查看PID为84的程序产生的日志
--since 时间点 --until 时间点 #查看从何时到何时的日志
例子: journalctl --since 01:30 --until 01:40 #查看从1:30到1:40产生的日志
journalctl -p err #查看报错日志
journalctl -f #监控 (用户ctrl+c结束监控)
journalctl -n 3 #最新的三条日志
journalctl -o verbose #查看日志详细参数
timedatectl #查看时间信息
timedatectl list-timezones #查看所有时区
timedatectl set-timezone Asia/Shanghai #设置为上海的时区
timedatectl set-local-rtc 0 #使用UTC时间
cat /etc/adjtime #在此文件中显示UTC
timedatectl set-local-rtc 1 #使用local(本地)时间
cat /etc/adjtime #在此文件中显示local
date #查看时间
timedatectl set-time "年-月-日 时:分:妙" #修改时间
例如 timedatectl set-time "2018-11-11 11:11:11"
实验:
服务端:node2 172.25.254.226
客户端:node1 172.25.254.126
(1)在服务端:
vim /etc/chrony.conf
29行 local startum 10 #开启时间共享功能并设定共享级别
22 行 allow 172.25.254/24 #允许哪些客户来访问本机共享的时间
systemctl restart chronyd.service(chronyd) #重启该服务
vim /etc/chrony.conf
server 172.25.254.226 iburst 修改服务端的ip,在第三行