除了日志,建议开启linux审计功能(rh413)
大部分的日志都存储在/var/log/目录下
rsyslog服务管理日志
systenctl is-active rsyslog
cat /etc/rsyslog.conf
这个文件规定了日志存储的格式功能规则模块之类的信息
其中
ROUL
规则的定义 可以看出日志存储的位置
事件.级别 排除项 文件
事件系统中定义了大概70多种
级别 八种
emerg 恐慌状态 alert 紧急状态 crit 临界状态 err 其他错误情况
warning 警告消息 notice 需要调查的事项 info 提供信息的消息 debug 仅供调试
logeer -p xxxxxx
日志服务器
远程发送日志需要将防火墙规则打开,这里实验我们用 iptables -F 清空防火墙规则
第一种单种日志信息的发送
本机:
vim /etc/rsyslog.conf
local5.debug @192.168.30.20 本机把日志发送给192.168.30.20
日志服务器: 需要对发送端的日志种类也有明确接受规定
vim /etc/rsyslog.conf
local5.debug /var/log/xxxx 把此类错误保存在xxxx中
rsyslog 默认是不接受远端日志的
需要把前边的udp接受打开
provides udp syslog reception
第二种 所有种类信息的接受
开启本机 /etc/rsyslog.conf下边的 #*.* @@hostname:514 (#去掉即为开启)
意思是将本机所有日志信息 发送给远端hostname 的514端口
tailf /var/log/xxxx查看日志
journalctl 不分类查看所有日志
journalctl -n 5 查看所有日志的前五行 类似于head
journalctl -f 实时查看日志 类似于talif
journalctl -p err 查看error级别的事件
journalctl -p err --since "2015-03-19" --until "2015-03-21"
给查看的日志限定时间,时间可以精确到分秒 --since "2015-03-19 21:50:12"
配置时区时间
date
timedatectl set-timezone xxx/xxx
NTP服务器
先安装NTP软件包才能进行配置 yum install ntp -y 从已配置好的源中安装。
vim /etc/ntp.conf
restrict default nomodify(不许修改) notrap nopeer noquery(不许查询)
restrict 10.26.13.0 mask 255.255.255.0 nomdoify notrap 10.26.13.0网段的机器连接进来的权限是 nomodify notrap
server 127.127.1.0 iburst 将自己主板的时间作为主server
iburst 意思是加速时间同步
客户端
timedatectl
查看有没有NTP synchronized
1.
图形化配置
yum install system-config-date -y 安装 system-config-date 图形化工具
2.vim /etc/ntp.conf
server xxxx.x.xxx.x iburst
chronyc sources -v 查看NTP 服务器连接状态 *表示正在连接的上层服务器状态
大部分的日志都存储在/var/log/目录下
rsyslog服务管理日志
systenctl is-active rsyslog
cat /etc/rsyslog.conf
这个文件规定了日志存储的格式功能规则模块之类的信息
其中
ROUL
规则的定义 可以看出日志存储的位置
事件.级别 排除项 文件
事件系统中定义了大概70多种
级别 八种
emerg 恐慌状态 alert 紧急状态 crit 临界状态 err 其他错误情况
warning 警告消息 notice 需要调查的事项 info 提供信息的消息 debug 仅供调试
logeer -p xxxxxx
日志服务器
远程发送日志需要将防火墙规则打开,这里实验我们用 iptables -F 清空防火墙规则
第一种单种日志信息的发送
本机:
vim /etc/rsyslog.conf
local5.debug @192.168.30.20 本机把日志发送给192.168.30.20
日志服务器: 需要对发送端的日志种类也有明确接受规定
vim /etc/rsyslog.conf
local5.debug /var/log/xxxx 把此类错误保存在xxxx中
rsyslog 默认是不接受远端日志的
需要把前边的udp接受打开
provides udp syslog reception
第二种 所有种类信息的接受
开启本机 /etc/rsyslog.conf下边的 #*.* @@hostname:514 (#去掉即为开启)
意思是将本机所有日志信息 发送给远端hostname 的514端口
tailf /var/log/xxxx查看日志
journalctl 不分类查看所有日志
journalctl -n 5 查看所有日志的前五行 类似于head
journalctl -f 实时查看日志 类似于talif
journalctl -p err 查看error级别的事件
journalctl -p err --since "2015-03-19" --until "2015-03-21"
给查看的日志限定时间,时间可以精确到分秒 --since "2015-03-19 21:50:12"
配置时区时间
date
timedatectl set-timezone xxx/xxx
NTP服务器
先安装NTP软件包才能进行配置 yum install ntp -y 从已配置好的源中安装。
vim /etc/ntp.conf
restrict default nomodify(不许修改) notrap nopeer noquery(不许查询)
restrict 10.26.13.0 mask 255.255.255.0 nomdoify notrap 10.26.13.0网段的机器连接进来的权限是 nomodify notrap
server 127.127.1.0 iburst 将自己主板的时间作为主server
iburst 意思是加速时间同步
客户端
timedatectl
查看有没有NTP synchronized
1.
图形化配置
yum install system-config-date -y 安装 system-config-date 图形化工具
2.vim /etc/ntp.conf
server xxxx.x.xxx.x iburst
chronyc sources -v 查看NTP 服务器连接状态 *表示正在连接的上层服务器状态