日志服务器与日志转发

实验准备：三台虚拟机（linux的NetworkManager全部是关闭状态，linux不要克隆，新安装一个）

1、一台window虚拟机作为客户端，单网卡：
   ip：172.16.0.100/255.255.0.0
   网关（路由）：172.16.0.1（vmnet2）
   
   
2、一台linux，作为网关（路由），双网卡
   eth0在vmnet2（交换机），ip：172.16.0.1/255.255.0.0 网关：不需要
   eth1在vmnet3，ip：192.168.0.1/255.255.255.0 网关：不需要
   
   
3、一台linux，作为被访问机子，单网卡：
   eth0在vmnet3，ip：192.168.0.100/255.255.255.0 网关：192.168.0.1
    
   
4、这三台机子的防火墙关闭	service iptables stop 
5、linux机子NetworkManager  关闭  用永久关闭
   /etc/init.d/NetworkManager   stop 
   chkconfig --level 2345 NetworkManager off
6、验证：
    1 2 之间能ping通     2 3之间也能ping通    1  3之间不通

准备完成
一号机

二号机



三号机

在2号机上做路由转发
vim /etc/sysctl.conf //打开内核配置文件

	   找到：#Controlls IP packet forwarding    //控制ip数据包转发
       将：  net.ipv4.ip_forward=0 由0改为1，即是开启转发功能
	   保存退出

这时候就一号机和三号机可以相互ping通了

ssh命令是使用ssh协议进行远程连接

            命令：ssh 用户名@IP地址

在三号机上可以查看日志

tail -f /var/log/secure  可以找到远程登录成功/失败信息

日志是由谁类管理的？

主要程序：/sbin/rsyslogd
配置文件：/etc/rsyslog.conf 
	名字. 级别   的形式
 	0 EMERG（紧急）： 会导致主机系统不可用的情况
	1 ALERT（警告）：必须马上采取措施解决的问题
	2 CRIT（严重）：比较严重的情况
	3 ERR（错误）：运行出现错误
	4 WARNING（提醒）：可能影响体统功能的事件
	5 NOTICE（注意）：不会影响系统，但是要注意
	6 INFO（信息）：一般信息
	7 DEBUG（调试）：程序或调试信息

日志转发

在2号机子上配置文件：
vim /etc/rsyslog.conf
找到：ModLoad imtcp //将注释去掉，开始这服务
$InputTCPServerRun 514 //传入tcp协议服务运行端口 514

建配置文件，配置需要监听的客户端：

    cd /etc/rsyslog.d
	vim 192.168.0.100.conf

解释：

	   fromhost-ip  那个ip发过来的

重启服务

三号机也要进行配置

vim /etc/rsyslog.conf

再重启三号机的服务

再去一号机进行连接

让三号机能获取到新的记录 ，从而传到二号机创的记录文件里

tail -f /var/log/secure 

再去二号机查看有没有获取到三号机的日志记录

 cat /var/log/client/192.168.0.100.log

日志分析

   利用xshell软件多次连接linux失败后分析
   分析secure日志，分析登录失败状态
  		1、查看日志 cat secure
        	发现内容很多，不太方便分析
   		2、使用grep 过滤分析：
        	grep “Failed password” secure  //过滤关键信息，方便分析
   		3、使用管道符，配合多命令分析更精确
        	| awk ‘{print $11}’    //awk只看关键列（以空格划分列） ‘{print $11}’输出第11列
        	| sort   //排序  分类分析          
			| awk ‘{}’
			| uniq [-c] //uniq命令将相同的进行归并  -c统计相同的数量
			| awk ‘{print "ip",$2,"count",$1}’   //具有标识的显示

ssh远程访问安全加固

在/etc/ssh/ssh.conf

PermitRootLogin no