Day27Linux网络信息查看与配置，日志的管理与应急分析，日志服务器的建立

IP地址，子网掩码，网关，DNS
1.确认系统的网卡信息和IP地址
ip addr
ethernet(eth)以太网
eth0:表示第一个网卡
eth1:表示第二个网卡
lo：表示本机回环地址
ping 127.0.0.1
ping:Windows默认发送四次，Linux一直ping，中断可以按Ctrl+C
把eth0，eth1MAC地址记录下来
eth0：00:0c:29:13:78:6c
eth1：00:0c:29:13:78:76
2.关闭networkmanager服务
Linux右上角可以开启帮助管理网卡，本实验不需要网卡关闭即可
关闭命令：service NetworkManager stop(右上角电脑图标自动关闭)
永久关闭：chkconfig --level 345 NetworkManager off
右下角点击NAT1--------设定------适配器NAT---------高级----------看MAC是eth0还是eth1，是eth0-------------网络模式---------------桥接模式-------------确定
ip addr
eth0，eth1是down，关闭状态
3.配置网络地址
ip addr add 192.168.0.100/24 dev eth0
//注意：这里的192.168.0.100写错了应该写成跟真实机同一个网段192.168.86.100
查看真实机IP地址：ipconfig /all
ip addr add 192.168.86.100/24 dev eth0
ip addr

俩IP地址删除一个
ip addr del 192.168.0.100/24 dev eth0
ping 192.168.86.10报错：网络不可达
原因eth0关闭了，没有打开：ip link set eth0 up
ip addr
Linux：ping 192.168.86.10
因为真实机有防火墙所以不通，但是可以用真实机ping 虚拟机，就可以通
真实机：ping 192.168.86.100可通
ping 8.8.8.8网络不可达
原因：ping不同网段的地址需要网关，因为本虚拟机还没有配置网关所以不通
ip route查看路由表
设定默认网关：
ip route add default via 192.168.86.1 dev eth0
ip route
ping 8.8.8.8
ctrl+C
nslookup www.baidu.com
报错 原因当前操作系统没有配置DNS服务器，DNS服务器将域名转换为IP地址
vim /etc/resolv.conf
写上：nameserver 202.106.0.20
nslookup www.baidu.com
可以出现地址
打开火狐，www.baidu.com出现页面

以上无法永久保存，虚拟机重启后配置的IP地址会失效。
如何永久保存IP？
通过配置文件配置网络地址
eth0:
192.168.1.254/24
eth1:
172.16.1.254/24
命令行：cd /etc/sysconfig/network-scripts/
ls
vim ifcfg-eth0
修改内容为：
DEVICE=eth0 网卡设备名称
TYPE=Ethernet 类型
ONBOOT=yes 是否允许network服务管理
BOOTPROTO=static 静态获取IP地址
IPADDR=192.168.1.254
NETMASK=255.255.255.0

vim ifcfg-eth1
DEVICE=eth1 网卡设备名称
TYPE=Ethernet 类型
ONBOOT=yes 是否允许network服务管理
BOOTPROTO=static 静态获取IP地址
IPADDR=172.16.1.254
NETMASK=255.255.255.0
如何生效？
/etc/init.d/network restart //重启network即可
ip addr

NAT1：vmnet2
NAT2：V3
xp：192.168.1.1
255.255.255.0
192.168.1.254
V2
cmd--------ping 192.168.1.254可通
ping 172.16.1.254可通
ip addr
eth0配置好交换机，eth1配不配置均可
cd /etc/sysconfig/network-scripts/
vim ifcfg-eth0
DEVICE=eth0 网卡设备名称
TYPE=Ethernet 类型
ONBOOT=yes 是否允许network服务管理
BOOTPROTO=static 静态获取IP地址
IPADDR=172.16.1.1
NETMASK=255.255.255.0
GATEWAY=172.16.1.254

service network restart
ping 172.16.1.254
ping 192.168.1.254
ping 192.168.1.1出错
winxp:ping 172.16.1.1出错
原因：Linux未开启路由功能
vim /etc/sysctl.conf
control IP packet forwading
net.ipv4.ip-forward=1
0:不转发，1代表转发
sysctl -p使生效
xp:ping 172.16.1.1目标主机不可达
why？原因中间主机开启了防火墙
iptables -nL
REJECT:里头是拒绝转发的条目
关闭防火墙：setup
Firewall configuration回车
*用空格替代 ，tab点击ok回车
tab点击Quit
ping 172.16.1.1通
Linux：ping 192.168.1.1

日志文件：
/var 常变文件存放目录
cd /var
ls
cd log
ls
日志分类：
系统日志 messages
登录日志 secure
程序日志
vim messages
xp：putty 192.168.1.254 22
open
是
login as：xiyangyang
password：123
尝试几次登录，被记录
vim secure
日志的管理服务：
vim /etc/rsyslog.conf
#开头，注释行
黑色字体：有效行
authpriv.*
服务名称.日志级别
man rsyslog.conf
/emerg
最不严重到最严重：
debug,info,notice,warning,warn(same as warning),err,error(same as err),crit,alert,emerg,panic(same emerg)
vim /etc/rsyslog.conf
触发info以上都会记录
多开几个终端
触发：logger -p authpriv.emerg "===test==="
cat /var/log/secure
日志的异地备份 日志服务器建立
L1:tail -f /var/log/secure
xp:SecureSRT5.1:192.168.1.254
xiyangyang
连接
口令猜测
123456
:q
清除日志：确认登录账户是否有清除权限
xp:putty
root
123.com
登录成功
清除日志：echo " " > /var/log/secure
cat /var/log/secure
L1:vim /etc/rsyslog.conf
写：authpriv.* @@172.16.1.254:514
保存退出
关闭防火墙
setenforce 0
getenforce 确定是否关闭
permissive 提示已关闭
service rsyslog restart重启服务
L2:
vim /etc/rsyslog.conf
###MODULES
取消注释的#：
$ Modload imtcp
$ InputTcpserverRun 514
写入：
:fromhost-ip, isequal, “172.16.1.254” /var/log/client/172.16.1.254.log
service rsyslog restart
ss -antpl | grep 514
xp登录：输入登录密码查看日志是否会过去L2
L1:cat /var/log/secure
L2:cat /var/log/client/172.16.1.254.log
删除日志：L1：echo " " > /var/log/secure
L1:cat /var/log/secure //L1无日志
L2:cat /var/log/client/172.16.1.254.log //L2有日志