1023.990天：Linux CentOS 7搭建日志服務(wù)器

#每日三件事，第990天#

我們提供的服務(wù)有：網(wǎng)站設(shè)計制作、網(wǎng)站設(shè)計、微信公眾號開發(fā)、網(wǎng)站優(yōu)化、網(wǎng)站認(rèn)證、平果ssl等。為上千企事業(yè)單位解決了網(wǎng)站和推廣的問題。提供周到的售前咨詢和貼心的售后服務(wù)，是有科學(xué)管理、有技術(shù)的平果網(wǎng)站制作公司

? 《中華人民共和國網(wǎng)絡(luò)安全法》第二十一條第一款第三項規(guī)定網(wǎng)絡(luò)運(yùn)營者應(yīng)采取監(jiān)測、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個月。在GB/T22239《網(wǎng)絡(luò)安全等級保護(hù)基本要求》的安全計算環(huán)境中，對安全審計也有明確的要求。

? 在落實法律義務(wù)和責(zé)任，開展網(wǎng)絡(luò)安全等級保護(hù)工作的過程中，日志服務(wù)器成了必不可少的一項。商用的日志審計系統(tǒng)固然好，但利用CentOS7也可以做一個簡單的日志服務(wù)器，收集網(wǎng)絡(luò)中其他設(shè)備的日志信息。

日志服務(wù)器端的配置：

yum install syslog，其實CentOS7默認(rèn)就已經(jīng)安裝了rsyslog服務(wù)。系統(tǒng)會自動檢測，并不會重新安裝一遍syslog服務(wù)。

vim /etc/rsyslog.conf，找到#Providers TCP syslog reception這一行，把下面兩行前面的#去掉即可：

#Providers TCP syslog reception

$ModLoad imtcp

$InputTCCPServerRun 514

======分割線 ======

在/etc/rsyslog.d/創(chuàng)建一個名為client_ip.conf的文件，每個日志發(fā)送客戶端創(chuàng)建一個文件。我的實驗環(huán)境中有一個ip為192.168.1.1的客戶端，因此創(chuàng)建一個192.168.1.1.conf的文件。

vim /etc/rsyslog.d/192.168.1.1.conf

:fromhost-ip,isequal, "192.168.1.1" /var/log/client/192.168.1.1.log

systemctl restart rsyslog

重啟之后一定要檢查一下，使用命令：systemctl status rsyslog，并且保證rsyslog服務(wù)能夠在開機(jī)時自動啟動。

客戶端的配置如下：

vim ?/etc/rsyslog.conf，去掉#Providers TCP syslog reception下面兩行的注釋：

#Providers TCP syslog reception

$ModLoad imtcp

$InputTCCPServerRun 514

在最后一行添加：

*.*. @@192.168.1.10:514

其中192.168.1.10是日志服務(wù)器的IP地址。

systemctl restart rsyslog，并查看rsyslog的狀態(tài)，保證服務(wù)在開機(jī)時自動啟動。

此時在日志服務(wù)器上就可以接收到客戶端發(fā)來的日志信息了。

LINUX中，創(chuàng)建文件夾、文件命令及清除命令。

假設(shè)我們在/home里創(chuàng)建

1、創(chuàng)建一個叫test的文件夾

輸入 cd /home 回車 就到了home目錄；

輸入 mkdir test 就可以了。

2、在文件夾里添加(就是創(chuàng)建 一個文件，例如a.txt）

輸入 touch test/a.txt 回車。

3、刪除

輸入 rm -rf test/ 回車。

擴(kuò)展資料：

一、LINUX通用命令:

1.date ：print or set the system date and time

2. stty -a: 可以查看或者打印控制字符(Ctrl-C, Ctrl-D, Ctrl-Z等)

3. passwd: print or set the system date and time (用passwd -h查看)

4. logout, login: 登錄shell的登錄和注銷命令

5. pwd: print working directory

6. more, less, head tail: 顯示或部分顯示文件內(nèi)容.

7. lp/lpstat/cancel, lpr/lpq/lprm: 打印文件.

8. 更改文件權(quán)限： chmod u+x...

9. 刪除非空目錄：rm -fr dir

10. fg jobid :可以將一個后臺進(jìn)程放到前臺。

Ctrl-z 可以將前臺進(jìn)程掛起(suspend), 然后可以用bg jobid 讓其到后臺運(yùn)行。

job 可以直接讓job直接在后臺運(yùn)行。

11. kill 的作用: send a signal to a process. eg: kill -9 發(fā)送的是SIG_KILL信號。。。 具體發(fā)送什么信號 可以通過 man kill 查看。

12. ps 的用法， ps -e 或 ps -o pid,ppid,session,tpgid, comm (其中session顯示的sessionid, tpgid顯示前臺進(jìn)程組id, comm顯示命令名稱。)

參考資料：LINUX命令-百度百科

Linux用戶命令記錄

很多情況下我們需要記錄用戶執(zhí)行過的命令，不管是root還是其他普通用戶，我們可以通過以下方式來記錄。

PROMPT_COMMAND會在命令執(zhí)行前執(zhí)行。

$(who am i |awk '{print \$2,\$5}') 會輸出登錄用戶用的tty和登錄服務(wù)器的遠(yuǎn)程電腦IP或者主機(jī)名。

$PWD 是內(nèi)建變量，顯示當(dāng)前執(zhí)行命令的工作目錄。

history 1 | { read x cmd; echo ${cmd}; 會輸出最后一條歷史命令中的執(zhí)行信息。

為了不讓用戶修改變量，使用 declare -rx 命令定義了只讀環(huán)境變量。這里要注意使用 readonly 命令也可以定義只讀變量，但是用戶用env命令看不到，只有用 export PROMPT_COMMAND 命令將變量設(shè)置為環(huán)境變量后才能看到。

變量加到 /etc/bashrc 是因為用戶登錄后會加載這里的配置，包括 sudo sudo su sudo su - su root su - root 。如果加到其他文件里則部分命令后就不會加載變量，自行嘗試。

修改rsyslog是可以自定義日志輸出的文件路徑和名字，用 logger -p 這個命令配合使用。

新增logrotate配置則是需要切割日志，防止單個日志文件太大，以及做好切割備份，方便查詢。

【一】

在 /etc/profile 最后添加如下行，則日志會直接輸出到 messages 日志里。

這種方式：不定義日志格式，直接將日志寫到messages日志文件里，和其他日志放一起，但是可以指定日志標(biāo)簽，方便檢索。

缺點(diǎn)是（1）會導(dǎo)致日志增大，并且用戶提權(quán)后因-t標(biāo)簽的存在，導(dǎo)致不會記錄提權(quán)前的用戶。（2）不能自定義日志路徑。

【二】

缺點(diǎn)：用戶可以刪除日志文件。

因為普通用戶和root都要往日志文件里寫，所以需要給普通用戶加一個附加組；并且如果日志文件不存在，普通用戶登錄后也需要新建，所以普通用戶必須有日志文件父目錄的寫權(quán)限。為了能讓所有普通用戶都可以寫，就給Command目錄加了SGID權(quán)限以及修改目錄屬組為audit。這樣普通用戶在這個目錄下創(chuàng)建的日志文件的屬組會自動繼承Command目錄的屬組，也就是audit。 (umask 002 touch $HISTORY_FILE) 命令則是因為root用戶生成的日志文件權(quán)限是644，屬組沒有寫權(quán)限。所以這里用 啟動子shell并修改umask的方式生成日志文件。這樣就不會修改root默認(rèn)的 0022 的umask。

其他審計軟件：

免費(fèi)2個月

Linux日志管理五大命令有哪些詳解

1、who命令

who命令查詢utmp文件并報告當(dāng)前登錄的每個用戶。Who的缺省輸出包括用戶名、終端類型、登錄日期及遠(yuǎn)程主機(jī)。使用該命令，系統(tǒng)管理員可以查看當(dāng)前系統(tǒng)存在哪些不法用戶，從而對其進(jìn)行審計和處理。例如：運(yùn)行who命令顯示如下所示：

#?who

root?????pts/1????????2010-02-22?13:02?(:0.0)

root?????pts/2????????2010-02-22?15:57?(:0.0)

root?????pts/3????????2010-02-22?15:57?(:0.0)

如果指明了wtmp文件名，則who命令查詢所有以前的記錄。命令who /var/log/wtmp將報告自從wtmp文件創(chuàng)建或刪改以來的每一次登錄。例如：運(yùn)行該命令如下所示：

root?????:0???????????2010-01-24?21:47

root?????pts/1????????2010-01-24?21:47?(:0.0)

root?????:0???????????2010-02-20?19:36

root?????pts/1????????2010-02-20?19:36?(:0.0)

root?????:0???????????2010-02-21?15:21

root?????pts/1????????2010-02-21?15:56?(:0.0)

root?????pts/2????????2010-02-21?16:03?(:0.0)

root?????:0???????????2010-02-22?13:01

root?????pts/1????????2010-02-22?13:02?(:0.0)

root?????pts/2????????2010-02-22?15:57?(:0.0)

root?????pts/3????????2010-02-22?15:57?(:0.0)

2、user命令

users用單獨(dú)的一行打印出當(dāng)前登錄的用戶，每個顯示的用戶名對應(yīng)一個登錄會話。如果一個用戶有不止一個登錄會話，那他的用戶名將顯示相同的次數(shù)。運(yùn)行該命令將如下所示：

# users

root root root

3、last 命令

last命令往回搜索wtmp來顯示自從文件第一次創(chuàng)建以來登錄過的用戶。系統(tǒng)管理員可以周期性地對這些用戶的登錄情況進(jìn)行審計和考核，從而發(fā)現(xiàn)起中存在的問題，確定不法用戶，并進(jìn)行處理。運(yùn)行該命令，如下所示：

# last

root???? pts/3??????? :0.0???????????? Mon Feb 22 15:57?? still logged in

root???? pts/2??????? :0.0???????????? Mon Feb 22 15:57?? still logged in

root???? pts/1??????? :0.0???????????? Mon Feb 22 13:02?? still logged in

root???? :0??????????????????????????? Mon Feb 22 13:01?? still logged in

reboot?? system boot? 2.6.18-8.el5???? Mon Feb 22 12:56????????? (03:02)

root???? pts/2??????? :0.0???????????? Sun Feb 21 16:03 - down?? (02:37)

4、ac命令

ac命令根據(jù)當(dāng)前的/var/log/wtmp文件中的登錄進(jìn)入和退出來報告用戶連結(jié)的時間（小時），如果不使用標(biāo)志，則報告總的時間。例如：ac（回車）顯示：total 18.47，如下所示：

# ac

total?????? 18.47

另外，可加一些參數(shù)，例如，last -u 102將報告UID為102的用戶；last -t 7表示限制上一周的報告。

5、lastlog命令

lastlog文件在每次有用戶登錄時被查詢?？梢允褂胠astlog命令檢查某特定用戶上次登錄的時間，并格式化輸出上次登錄日志/var/log/lastlog的內(nèi)容。它根據(jù)UID排序顯示登錄名、端口號（tty）和上次登錄時間。如果一個用戶從未登錄過，lastlog顯示**Never logged**。注意需要以root身份運(yùn)行該命令。

參考資料：《Linux如何學(xué)》，部分來源網(wǎng)絡(luò)

Linux查看系統(tǒng)日志的一些常用命令

last

-a 把從何處登入系統(tǒng)的主機(jī)名稱或ip地址，顯示在最后一行。

-d 指定記錄文件。指定記錄文件。將IP地址轉(zhuǎn)換成主機(jī)名稱。

-f 記錄文件 指定記錄文件。

-n 顯示列數(shù)或-顯示列數(shù) 設(shè)置列出名單的顯示列數(shù)。

-R 不顯示登入系統(tǒng)的主機(jī)名稱或IP地址。

-x 顯示系統(tǒng)關(guān)機(jī)，重新開機(jī)，以及執(zhí)行等級的改變等信息

以下看所有的重啟、關(guān)機(jī)記錄

last | grep reboot

last | grep shutdown

history

列出所有的歷史記錄：

[zzs@Linux] # history

只列出最近10條記錄：

[zzs@linux] # history 10 (注,history和10中間有空格)

使用命令記錄號碼執(zhí)行命令,執(zhí)行歷史清單中的第99條命令

[zzs@linux] #!99 (!和99中間沒有空格)

重復(fù)執(zhí)行上一個命令

[zzs@linux] #!!

執(zhí)行最后一次以rpm開頭的'命令(!? ?代表的是字符串,這個String可以隨便輸，Shell會從最后一條歷史命令向前搜索，最先匹配的一條命令將會得到執(zhí)行。)

[zzs@linux] #!rpm

逐屏列出所有的歷史記錄：

[zzs@linux]# history | more

立即清空history當(dāng)前所有歷史命令的記錄

[zzs@linux] #history -c

cat, tail 和 watch

系統(tǒng)所有的日志都在 /var/log 下面自己看(具體用途可以自己查,附錄列出一些常用的日志)

cat /var/log/syslog 等

cat /var/log/*.log

tail -f

如果日志在更新，如何實時查看 tail -f /var/log/messages

還可以使用 watch -d -n 1 cat /var/log/messages

-d表示高亮不同的地方，-n表示多少秒刷新一次。

該指令，不會直接返回命令行，而是實時打印日志文件中新增加的內(nèi)容，

這一特性，對于查看日志是非常有效的。如果想終止輸出，按 Ctrl+C 即可。

除此之外還有more, less ,dmesg|more,這里就不作一一列舉了,因為命令太多了,關(guān)鍵看個人喜好和業(yè)務(wù)需求.個人常用的就是以上那些

linux日志文件說明

/var/log/message 系統(tǒng)啟動后的信息和錯誤日志，是Red Hat Linux中最常用的日志之一

/var/log/secure 與安全相關(guān)的日志信息

/var/log/maillog 與郵件相關(guān)的日志信息

/var/log/cron 與定時任務(wù)相關(guān)的日志信息

/var/log/spooler 與UUCP和news設(shè)備相關(guān)的日志信息

/var/log/boot.log 守護(hù)進(jìn)程啟動和停止相關(guān)的日志消息

/var/log/wtmp 該日志文件永久記錄每個用戶登錄、注銷及系統(tǒng)的啟動、停機(jī)的事件

網(wǎng)站題目：創(chuàng)建日志linux命令,linux怎么創(chuàng)建日志
轉(zhuǎn)載源于：http://www.sd-ha.com/article20/dsechjo.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供定制網(wǎng)站、用戶體驗、動態(tài)網(wǎng)站、網(wǎng)站排名、營銷型網(wǎng)站建設(shè)、企業(yè)建站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)