Liunx中日志分析与网络设置(极其粗糙版)
liunx系统日志的管理
系统日志:操作系统本身和大部分服务器程序的日志文件
日志是记录系统所产生的各种事故,在某个时间节点发生了什么,发生的原因
liunx的路径是/var/log下
/var/log/messages:内核日志还有公共信息日志(所有服务的控制日志都在这里)
包括启动 IO错误 网络错误
/var/log/cron:执行计划任务产生的日志
/var/log/secure:系统记录用户认证的安全事件信息
rsyslog系统服务,是对系统日志进行统一管理,还有第三方程序自带的日志
系统messages也只会第三方服务的控制日志(例如:开启,停止,重启等)
第三方自带的日志:业务日志(访问记录,访问报错)
路径是:/etc/rsyslog.conf
日志级别
0-7个级别:数字越小优先级越大,消息越重要
0 emerg 紧急 会导致主机系统不可用的情况
1 alert 警告 必须马上采取措施解决的问题,非法入境账号被篡改等情况
2 crit 严重 比较严重的情况,磁盘快满了,内存不够等情况
3 err 错误 程序运行时的错误信息,需要尽快修复
4 waring 提醒 可能会影响系统功能,需要用户注意的事项现在根目录的inode号要用完了等情况
5 notice 注意 不会影响正常功能,但是是一些需要注意的事件,不需要处理
6 info 信息 正常系统运行产生的一些信息
7 debug 调试 一般是调试程序时,产生的一些信息
none:没有优先级,不会记录任何消息。
这个优先级可以由开发者自定义,可以自行修改
设备字段:
auth:用户认证产生的日志
authpriv:远程登录产生的验证信息日志
ftp:FTP产生的日志
mail:邮件日志
cron:定时任务日志
kern:系统内核日志
user:用户进程日志
syslog:系统日志
local:表示自定义服务。0-7支持在rsyslog.conf这个文件中对应local等级,自定义把相关进程添加到系统日志的配置当中
mail.info /var/log/mail.log
这是mail的info级别,包含info以上的日志级别,发到mail.log文件
mail.=info
这是明确了日志级别,只有info级别的日志才会记录
mail.!info
这是除了info的日志级别,其他的都记录
mail.*
这是记录mail的所有级别
mail.info;user.notice
这是记录mail的info包含及以上的日志和user的notice包含及以上的日志
mail.none
这是mail的相关日志都不记录
实验ps:下面实验需要两台虚拟机进行验证,并且所有防火墙都需要关闭
1.将服务日志单独存放:
ssh
authpriv
2.配置日志服务器,来收集日志
vi /etc/log/rsyslog.conf
复制粘贴后将原本注释掉,把粘贴的改成服务器地址
这是将TCP端口打开,然后保存退出
以上发送方配置,以下是接收发配置
vi /etc/log/rsyslog.conf
将TCP端口打开,然后保存退出
liunx图形化工具安装
liunx网络:
ifconfig:查看活动的网络接口设备
mtu 1500:最大数据包传送单元
我能够发1500个,但是对方也要能接受1500个
ifconfig -a #查看所有,包括未激活的网络设备接口
ifconfig ens33 #查看指定设备
ifconfig ens33 up #开启 或者ifup ens33
ifconfig ens33 down #关闭 或者ifdown ens33
ifconfig ens33:0 192.168.140.111/24 #创建虚拟网卡ps虚拟网卡一但重启就全部消失
修改主机名:
hostname 主机名 #临时修改主机名
hostnamectl set-hostname 主机名 #永久修改主机名,bash或者su刷新一下
vi /etc/hostname
添加多行,只有第一行有效
而且只能重启生效
netstat查看网络连接情况(端口扫描)
查看主机的端口是否存在
-a显示主机中所有活动的网络连接信息(包括监听和非监听的端口)
-n:以数字形式显示相关的主机地址 端口信息
-t:查看tcp的相关信息
-u:查看udp的相关信息
-p:显示于网络连接关联的进程号,进程名称(必须要root权限)
listen:监听 目的是等待连接。表示正在等待其他主机建立连接
established:已经建立连接而且正在进行数据传输
time_wait:tcp连接状态之一,这个时候连接还在,只是双方不再进行数据传输一般时间在60到120秒
ss端口统计状态要比netstat信息更详细,查询速度比netstat快
-a显示主机中所有活动的网络连接信息(包括监听和非监听的端口)
-t:查看tcp的相关信息
-u:查看udp的相关信息
-n:以数字形式显示相关的主机地址 端口信息
-p:显示于网络连接关联的进程号,进程名称(必须要root权限)
命令:
tail -f /var/log/messages #查看日志
netstat -antp | grep 端口号或者进程名#查看相关信息
ss -antp | grep 端口号或者进程名#查看相关信息
ping
-c #发送包的格式
-i #发送包的时间间隔
-W #ping不通之后的超时时间
-w #多少秒之后停止ping操作
跟踪数据包的路由途径:
traceroute 域名或ip地址
域名解析:
nslookup
dns域名解析:是为了给机器看的,域名是方便人们记忆的
就是把域名解析成ip地址,域名的作用方便用户记忆
正向解析
域名到ip
反向解析
ip到域名
dig也是域名解析,可以详细的列出更多信息
/etc/hosts
配置主机名和ip地址的映射关系
192.168.140.111 www.baidu.com
/etc/resolv.com
配置DNS服务器的地址
http://t.csdnimg.cn/F8tny
http://t.csdnimg.cn/QTqo8
这有些知识点可以结合这个链接一起看,但是已此篇为主