日志管理

一，设置主机名

# hostname       查看完整主机名

# hostname  -f   查看主机名，域名

1）临时设置主机名（换用户可显示）

# hostname 要设置的主机名

2）永久设置主机名（需重启后才能生效）

# cat(vim) /etc/hostname

重启后的效果

---

二，Centos7系统启动过程及相关配置文件

1，UEFI或BIOS初始化，运行POST开机自检

2，选择启动设备#光盘

3，引导装载程序，centos7是grub2

4，引导装载程序的配置文件：/etc/grub.d/ /etc/default/grub/boot/grub2/grub.cfg

5，加载内核选项

6，加载initramfs初始化伪文件系统

7，内核初始化，centos7使用systemd代替init

8，执行initrd.target所有单元，包括挂载/etc/fstab 

9，从initramfs根文件系统切换到磁盘根目录

10，systemd执行默认target配置，配置文件/etc/systemd/system/default.target

11，systemd执行sysinit.target初始化系统及basic.target准备操作系统

12，systemd启动multi-user.target下的本机与服务器服务

13，systemd执行multi-user.target下的/etc/rc.d/rc.local

14，systemd执行multi-user.target下的getty.target及登陆服务

15，systemd执行graphical需要的服务   #图形界面

---

三，计划任务介绍

1）计划任务的作用：

做一些周期性的任务，在生产中主要用来定期备份数据

2）计划任务的安排方式：

a,定时性，也即例行。每隔一定周期就要重复做的事情

b,突发性，只执行一次。这次做完就没了下次

3）计划任务的两个命令(at,crontab)：

a,at（突发性）：可以处理仅执行一次就结束的指令

b,crontab（定时性）：会把指定的工作或任务按照设定的周期一直循环执行下去。eg：脚本等

1，at
1）查看atd服务并启动
# systemctl start atd               开启atd服务
# systemctl status atd             查看atd服务状态
# systemctl is-enabled atd      查看是否开机启动服务        enabled                                说明开机启动此服务
2）使用at创建计划任务
2&1执行计划
# date                                       查看系统时间
# at 时间格式（eg:20:20)         下附时间格式(如为上午，后加am)
   at>                                          输入要执行的命令
   at>                             结束：ctrl+d

2&2查看计划
# ls                                            可看到已执行完后的命令的内容

# atq                                         可看到未执行的命令
# at -l                                        可看到未执行的命令
# at -c 任务编号                        只可看到未执行的命令，-c表示打印任务的内容到标准输出

# ls /var/spool/at                                          查看未执行命令的编号
# tail -n /var/spool/at/未执行命令的编号      查看未执行命令的具体内容

2&1&1 at计划任务的特殊写法
# at 20:00 2018-10-1    在某天
# at now +10min           在10分钟后执行
# at 17:00 tomorrow      明天下午5点执行
# at 6:00pm +3 days      在3天后的下午6点执行
# at 23:00 < a.txt            在23：00执行a.txt的内容

3）删除计划任务
# atrm 任务编号

2，crontab
1）常用选项
      -l:list        列出指定用户的计划任务列表
     -e:edit       编辑指定用户的计划任务列表
     -u:user      指定的用户，如不指定，则表示当前用          -r:remove  删除指定用户的计划任务列表
2）编辑计划任务
计划任务的规则语法格式：以行为单位，一行则为一个计划
需要执行的命令的顺序：分  时  日  月  周
3）取值范围
分：0-59
时：0-23
日：1-31
月：1-12
周：0-7，0和7表示星期天
4）四个符号
*：（每）取值范围中的每一个数字
-：连续区间表达式
/：每多少个
,：多个取值
5）案例
eg:每隔两天的上午8点到11点的第3分钟和第15分钟执行一次重启
# crontab -e
# 3,15 8-11 */2 * * reboot

---

四，系统日志管理
1，常见日志文件的作用
/var/log目录保管由rsyslog维护的，里面存放的一些特定于系统和服务的日中文件

2，案例
2&1查看哪个IP地址经常暴力破解系统用户密码
# vim /var/log/secure               查看安全和身份验证日志
# grep Failed /var log/secure   按筛选条件查看

2&2使用/var/log/btmp文件查看系统的用户
/var/log/btmp文件是记录错误登录系统的日志，如其较大（>1M）就说明很多人在暴力破解ssh服务，此日志需要使用lastab程序查看
# lastab
# ll -h /var/log/bmp

3，日志的记录方式
1）日志的分类
daemon       后台进程相关
kern             内核产生的信息
lpr                打印系统产生的
authpriv       安全认证
cron             定时相关
mail             邮件相关
syslog         日志服务本身
news           新闻系统
local0-7       自定义的日志设置（轻到重）
2）日志级别

3）rsyslog日志服务
服务名称：rsyslog 
配置文件：/etc/rsyslog.conf

"-"号：邮件的信息比较多，先将数据存储到内存，达到一定大小，全部写到硬盘，有利于减少I/O进程的开销；数据存储在内存，如关机不当数据消失。

4）数据的输入规则
.info        大于等于info级别的信息全部记录到某个文件
.=            仅记录等于某个级别的日志。eg:.=info 只记录info级别的日志。
.!             除了某个级别以外，记录所有的级别信息。eg:.!err 除了err外记录所有
.none      排除某个类别。eg:mail.none,所有mail类别的日志都不记录

五，自定义ssh服务的日志类型和存储位置
1，# vim/etc/rsyslog.conf                                   把local0类别的日志，保存到/var/log/sshd.log路径（一般为73行）
73 local7.*                     /var/log/boot.log
74 local0.*                     /var/log/ssh.log
2，# vim /etc/ssh/sshd_config                            定义ssh服务的日志类别为local0，编辑sshd服务的主配置文件（一定是改，删除32行原信息）
改：32 SyslogFacility AUTHPRIV
为：32 SyslogFacility local0
3，# systemctl restart rsyslog                               先重启rsyslog服务（生效配置）
4，# systemctl restart sshd                                  再重启sshd服务，生成日志
5，# ls /var/log/sshd.log                                        验证是否生成日志并查看其中的内容
6，# cat -n /var/log/sshd.log