1.日志的服务类型管理
一.日志的服务类型管理
rsyslog是centos6之后版本的系统管理服务,他提供高性能,出色的安全性,模块化设计。
1.rsyslog特性:
多线程快
支持协议多,UDP,TCP,SSL
支持数据库,MySQL,PGSQL
强大的过滤器
自定义输出格式
小型企业
ELK:大型企业
服务器:提供服务的机器
客户端:需要访问服务的
rsyslog管理日志的软件:
2.日志类型:
emerg:系统已经无法使用(最严重等级)
alert:比crit等级严重,必须采取行动
crit:临界状态信息,比erro等级还要严重
error:错误信息,到了这个等级已经可以影响到服务了
warning:警告信息,不影响到服务运行
notice:普通信息,有一定严重性
info:基本的通知信息
debug:一般的调试信息(最低等级)
*:代表所有日志等级
3.关于rsyslog的配置文件:
程序包:rsyslog
配置文件:/etc/rsyslog.conf中:
查看一下登录用户的日志文件/etc/log/secure:
如果有用户一直在登录,可能表示该用户在暴力破解密码,可用过防护墙限制其用户登录。
看用户登录成功的日志文件/etc/log/wtmp下:需要用last看,它不是官方文档
看登录失败的用户信息在/etc/log/btmp日志文件下:
看系统大部分信息日志/etc/log/messages:
看用户第一次登录的信息用lastlog看:
4.远程看日志在/etc/rsyslog.conf配置文件下:
查看一下端口号是否开启:
在开另一台客户机上配置/etc/rsyslog.conf下:
并且开启tcp的选项在19,20行:
在重启rsyslog.service程序:
在进行生成日志由端口为20的IP地址发送到10端口:
在查看下IP地址为20端口的日志文件:
这样就实现了远端日志功能。
5.日志文件类型:
/var/log/secure:是系统登录用户安全日志
/var/log/btmp:是用户登录失败日志,需要用lastb命令看
/var/log/wtmp:使用户登录成功日志,需要用last命令看
/var/log/lastlog:可以查看最近登录用户的信息,需要用lastlog命令看
/var/log/messages:可以看大部分系统信息
/var/log/boot.log:可以看系统启动时相关信息
如何实现多网卡:
先看看有几张网卡
在虚拟机设置添加网络适配器:
在查看一下网卡:
由于新网卡没有配置网址上不了,要去网卡位置下配置: