Liunx中日志分析与网络设置（极其粗糙版）

liunx系统日志的管理

系统日志：操作系统本身和大部分服务器程序的日志文件

日志是记录系统所产生的各种事故，在某个时间节点发生了什么，发生的原因

liunx的路径是/var/log下

/var/log/messages：内核日志还有公共信息日志(所有服务的控制日志都在这里)

包括启动 IO错误 网络错误

/var/log/cron:执行计划任务产生的日志

/var/log/secure：系统记录用户认证的安全事件信息

rsyslog系统服务，是对系统日志进行统一管理，还有第三方程序自带的日志

系统messages也只会第三方服务的控制日志(例如：开启，停止，重启等)

第三方自带的日志：业务日志(访问记录，访问报错)

路径是：/etc/rsyslog.conf

日志级别

0-7个级别：数字越小优先级越大，消息越重要

0 emerg 紧急 会导致主机系统不可用的情况

1 alert 警告 必须马上采取措施解决的问题，非法入境账号被篡改等情况

2 crit 严重 比较严重的情况，磁盘快满了，内存不够等情况

3 err 错误 程序运行时的错误信息，需要尽快修复

4 waring 提醒 可能会影响系统功能，需要用户注意的事项现在根目录的inode号要用完了等情况

5 notice 注意 不会影响正常功能，但是是一些需要注意的事件，不需要处理

6 info 信息 正常系统运行产生的一些信息

7 debug 调试 一般是调试程序时，产生的一些信息

none:没有优先级，不会记录任何消息。

这个优先级可以由开发者自定义，可以自行修改

设备字段：

auth：用户认证产生的日志

authpriv：远程登录产生的验证信息日志

ftp：FTP产生的日志

mail：邮件日志

cron：定时任务日志

kern：系统内核日志

user：用户进程日志

syslog：系统日志

local：表示自定义服务。0-7支持在rsyslog.conf这个文件中对应local等级，自定义把相关进程添加到系统日志的配置当中

mail.info /var/log/mail.log

这是mail的info级别，包含info以上的日志级别，发到mail.log文件

mail.=info

这是明确了日志级别，只有info级别的日志才会记录

mail.!info

这是除了info的日志级别，其他的都记录

mail.*

这是记录mail的所有级别

mail.info；user.notice

这是记录mail的info包含及以上的日志和user的notice包含及以上的日志

mail.none

这是mail的相关日志都不记录

实验ps:下面实验需要两台虚拟机进行验证，并且所有防火墙都需要关闭

1.将服务日志单独存放：

ssh

authpriv

2.配置日志服务器，来收集日志

vi /etc/log/rsyslog.conf

复制粘贴后将原本注释掉，把粘贴的改成服务器地址

这是将TCP端口打开，然后保存退出

以上发送方配置，以下是接收发配置

vi /etc/log/rsyslog.conf

将TCP端口打开，然后保存退出

liunx图形化工具安装

liunx网络：

ifconfig：查看活动的网络接口设备

mtu 1500:最大数据包传送单元

我能够发1500个，但是对方也要能接受1500个

ifconfig -a #查看所有，包括未激活的网络设备接口

ifconfig ens33 #查看指定设备

ifconfig ens33 up #开启 或者ifup ens33

ifconfig ens33 down #关闭 或者ifdown ens33

ifconfig ens33:0 192.168.140.111/24 #创建虚拟网卡ps虚拟网卡一但重启就全部消失

修改主机名：

hostname 主机名 #临时修改主机名

hostnamectl set-hostname 主机名 #永久修改主机名，bash或者su刷新一下

vi /etc/hostname

添加多行，只有第一行有效

而且只能重启生效

netstat查看网络连接情况(端口扫描)

查看主机的端口是否存在

-a显示主机中所有活动的网络连接信息(包括监听和非监听的端口)

-n:以数字形式显示相关的主机地址 端口信息

-t:查看tcp的相关信息

-u:查看udp的相关信息

-p:显示于网络连接关联的进程号，进程名称（必须要root权限）

listen：监听 目的是等待连接。表示正在等待其他主机建立连接

established：已经建立连接而且正在进行数据传输

time_wait：tcp连接状态之一，这个时候连接还在，只是双方不再进行数据传输一般时间在60到120秒

ss端口统计状态要比netstat信息更详细，查询速度比netstat快

-a显示主机中所有活动的网络连接信息(包括监听和非监听的端口)

-t:查看tcp的相关信息

-u:查看udp的相关信息

-n:以数字形式显示相关的主机地址 端口信息

-p:显示于网络连接关联的进程号，进程名称（必须要root权限）

命令：

tail -f /var/log/messages #查看日志

netstat -antp | grep 端口号或者进程名#查看相关信息

ss -antp | grep 端口号或者进程名#查看相关信息

ping

-c #发送包的格式

-i #发送包的时间间隔

-W #ping不通之后的超时时间

-w #多少秒之后停止ping操作

跟踪数据包的路由途径：

traceroute 域名或ip地址

域名解析：

nslookup

dns域名解析:是为了给机器看的，域名是方便人们记忆的

就是把域名解析成ip地址，域名的作用方便用户记忆

正向解析

域名到ip

反向解析

ip到域名

dig也是域名解析，可以详细的列出更多信息

/etc/hosts

配置主机名和ip地址的映射关系

192.168.140.111 www.baidu.com

/etc/resolv.com

配置DNS服务器的地址

http://t.csdnimg.cn/F8tny

http://t.csdnimg.cn/QTqo8

这有些知识点可以结合这个链接一起看，但是已此篇为主