目录

一、计划任务-at-cron-计划任务使用方法

1.at 计划任务的使用

1）查看atd服务是否开启

2）at 创建计划任务

3）查看定时任务内容

4）删除 at 计划任务

2.crontab 定时任务的使用

1）启动 crond 服务

2）cron 命令参数介绍:

3）cron -e 编辑时的语法

4）创建计划任务

5）排查所有用户的计划任务

6）查看系统级别的计划任务

7）使用 crontab 命令的注意事项：

8）常见的计划任务写法和案例

3.at 和 cron 黑白名单问题：

二、日志的种类和记录的方式-自定义 ssh 服务日志类型和存储位置

1、常见日志文件的作用

2.应用

1）查看哪个 IP 地址经常暴力破解系统用户密码

2）查询登录次数

3）使用 /var/log/btmp 文件查看暴力破解系统的用户

4）防火墙禁ip

5)清空日志：

6)如何防止日志删除

三.日志的规则

1、日志的记录方式 分类 级别

1）日志的分类:

2）日志的级别

3）类别.级别举例

四、rsyslog 日志服务

五、日志的配置文件信息：

1)日志输入的规则

2)定义自己的日志方法

六.日志的切割

1)logrotate 配置文件主要有：

2)编辑配置文件

3)logrotate 命令：

七、搭建远程日志收集服务器-日志切割

服务器端：

 1.开启端口TCP/UDP

 2.重启rsyslog

 3.查看端口是否打开

 4.关闭防火墙及保护机制

客户端

1.自定义日志并且定义日志保存位置

2.重启rsyslog 

3.关闭防火墙及保护机制

---

一、计划任务-at-cron-计划任务使用方法

计划任务的作用：是做一些周期性的任务，在生产中的主要用来定期备份数据

CROND：这个守护进程是为了周期性执行任务或处理等待事件而存在

计划任务的安排方式分两种:

一种是定时性的，也就是例行。就是每隔一定的周期就要重复来做这个事情

一种是突发性的，就是这次做完了这个事，就没有下一次了，临时决定，只执行一次的任务

at 和 crontab 这两个命令：

at：它是一个可以处理仅执行一次就结束的指令

crontab：它是会把你指定的工作或任务，比如：脚本等，按照你设定的周期一直循环执行下去

1.at 计划任务的使用

语法格式： at 时间 ；服务：atd

1）查看atd服务是否开启

【】# systemctl start atd

【】# systemctl status atd

#查看是否开启服务

【】#systemctl  display  atd

   #关闭服务

 【】systemctl  enable  atd

   #开启服务

【】# systemctl is-enabled atd

   #设为开机自启

在 Centos6 查看开机启动服务：

【】# chkconfig --list | grep atd

实战-使用

2）at 创建计划任务

[root@localhost ~]# date

2018 年 05 月 21 日 星期一 20:43:29 CST

[root@localhost ~]# at 20:46

at> mkdir /tmp/localhost

at> touch /tmp/localhost/a.txt

at>

ctrl <-- 只能删除当前行

ctrl  d 完成退出

【】# at -l

【】# atq

#查看定时任务  会提供序号

检查 at 计划任务运行结果:

【】# ls /tmp/localhost/

a.txt 1.2 查看和删除 at 将要执行的计划任务

【】# at -l

5  Sat Aug 19 20:50:00 2017 a root

任务编号	执行的时间	队列	执行者
5	Fri Oct 28 20:55:00 2016	a	root

【】# at -c 5

3）查看定时任务内容

【】# ls /var/spool/at/

a00003018452cb a0000501845084 spool

【】# tail -5 /var/spool/at/a0000501845084

at 计划任务的特殊写法

【】# at 20:00 2018-10-1 在某天

【】# at now +10min 在 10 分钟后执行

【】# at 17:00 tomorrow 明天下午 5 点执行

【】# at 6:00 pm +3 days 在 3 天以后的下午 6 点执行

【】# at 23:00

4）删除 at 计划任务

语法： atrm 任务编号

【】# at -l

3   Tue May 22 08:43:00 2018 a root

5   Mon May 21 23:00:00 2018 a root

【】# atrm 5

【】# at -l

3   Tue May 22 08:43:00 2018 a root

也可删除 /var/spool/at/a000xxx 

2.crontab 定时任务的使用

crond 命令定期检查是否有要执行的工作，如果有要执行的工作便会自动执行该工作

cron 是一个 linux 下的定时执行工具，可以在无需人工干预的情况下运行作业。

1）启动 crond 服务

【】# systemctl start crond

【】# systemctl enable crond

2）cron 命令参数介绍:

crontab 的选项：

crontab -u  hr  #指定 hr 用户的 cron 服务

crontab -l   #列出当前用户下的 cron 服务的详细内容

crontab -u user1 -l   #列出指定用户 mk 下的 cron 服务的详细内容

crontab -r   #删除 cron 服务

crontab -e   #编辑 cron 服务

例如:

crontab -u root -l

#root 查看自己的 cron 计划任务

crontab -u san -r

#root 想删除 san 的 cron 计划任务

3）cron -e 编辑时的语法

星期日用 0 或 7 表示

一行对应一个任务，特殊符号的含义:

*	代表取值范围内的数字	（任意/每）
/	指定时间的间隔频率	*/10 0-23/2
-	代表从某个数字到某个数字	8-17
，	分开几个离散的数字	6，10——13，20

4）创建计划任务

例 1：每天凌晨 2 点 1 分开始备份数据

[root@localhost spool]# crontab -e #添加计划任务

1 2 * * * tar zcvf /opt/grub2.tar.gz /boot/grub2

[root@localhost ~]# crontab -l #查看

例 2：以非 root 用户添加计划任务。 最好使用已经存在系统用户添加。这里使用 bin 用户来添加

[root@localhost ~]# crontab -u bin -e

*/1 * * * * echo "aaaaaaa" >> /tmp/bin.txt

排查：

[root@localhost ~]# crontab -u bin -l

*/1 * * * * echo "aaaaaaa" >> /tmp/bin.txt

如何

5）排查所有用户的计划任务

注：所有用户的计划任务，都会在/var/spool/cron/下产生对应的文件

[root@localhost ~]# ll /var/spool/cron/

total 8

-rw------- 1 root root 42 Nov 12 10:11 bin

-rw------- 1 root root 19 Nov 12 10:06 root

1.6 系统级别的计划任务

6）查看系统级别的计划任务

[root@localhost etc]# ll /etc/crontab

-rw-r--r--. 1 root root 451 Dec 28 2013 /etc/crontab

[root@localhost etc]# vim /etc/crontab

SHELL=/bin/bash

PATH=/sbin:/bin:/usr/sbin:/usr/bin

MAILTO=root

# For details see man 4 crontabs

# Example of job definition:

# .---------------- minute (0 - 59)

# | .------------- hour (0 - 23)

# | | .---------- day of month (1 - 31)

# | | | .------- month (1 - 12) OR jan,feb,mar,apr ...

# | | | | .---- day of week (0 - 6) (Sunday=0 or 7) OR sun,mon,tue,wed,thu,fri,sat

# | | | | |

# * * * * * user-name command to be executed

也可以直接在/etc/crontab 中添加计划任务

7）使用 crontab 命令的注意事项：

环境变量的问题

[root@localhost bin]# ls /etc/cron

cron.d/ cron.deny cron.monthly/ cron.weekly/

cron.daily/ cron.hourly/ crontab

注： cron.d/   #是系统自动定期需要做的任务，但是又不是按小时，按天，按星期，按月来执行的，

那么就放在这个目录下面。

cron.deny        #控制用户是否能做计划任务的文件;

cron.monthly/    #每月执行的脚本;

cron.weekly/     #每周执行的脚本;

cron.daily/      #每天执行的脚本;

cron.hourly/     #每小时执行的脚本;

crontab    #主配置文件 也可添加任务;

实战-

8）常见的计划任务写法和案例

常见写法：

每天晚上 21:00 重启 apache

0 21 * * * /etc/init.d/httpd restart

每月 1、10、22 日的 4 : 45 重启 apache。

45 4 1,10,22 * * /etc/init.d/httpd restart

每月 1 到 10 日的 4 : 45 重启 apache。

45 4 1-10 * * /etc/init.d/httpd restart

每隔两天的上午 8 点到 11 点的第 3 和第 15 分钟执行 apach

3,15 8-11 */2 * * /etc/init.d/httpd restart

晚上 11 点到早上 7 点之间，每隔一小时重启 apach

0 23-7/1 * * * /etc/init.d/apach restart

周一到周五每天晚上 21:15 寄一封信给 root@panda:

不常见写法：

0 0 1，15 * 1 命令

3.at 和 cron 黑白名单问题：

/etc/at.deny      #at 黑名单，默认存在。

/etc/cron.deny    #cron 黑名单，默认存在。

/etc/at.allow      #at 白名单，默认不存在。

/etc/cron.allow    #cron 白名单，默认不存在。

注意：1.白名单优先级高于黑名单，同时存在时白名单生效

    2.少量用户可以使用，用白名单

    3.大量用户可以使用，个别用户不能使用，用黑名单

    4.当建立白名单文件后，必须存在白名单内才能使用

15 21 * * 1-5 mail -s "hi" root@panda

二、日志的种类和记录的方式-自定义 ssh 服务日志类型和存储位置

在 centos7 中，系统日志消息由两个服务负责处理：systemd-journald 和 rsyslog

1、常见日志文件的作用

系统日志文件概述：/var/log 目录保管由 rsyslog 维护的，里面存放的一些特定于系统和服务的日志文件

2.应用

1）查看哪个 IP 地址经常暴力破解系统用户密码

【】# ssh root@192.168.1.13

【】# grep Failed /var/log/secure

Aug 19 21:55:42 panda sshd[84029]: Failed password for root from 10.10.30.130 port 50916 ssh2

Aug 19 21:55:44 panda sshd[84029]: Failed password for root from 10.10.30.130 port 50916 ssh2

Aug 19 21:55:47 panda sshd[84029]: Failed password for root from 10.10.30.130 port 50916 ssh2

Aug 19 21:55:52 panda sshd[84034]: Failed password for root from 10.10.30.130 port 50917 ssh2

【】# grep Failed /var/log/secure|awk &＃39;{print $11}&＃39;|uniq -c

3 192.168.1.13

注：awk &＃39;{print $11}&＃39; #以空格做为分隔符，打印第 11 列的数据

2）查询登录次数

/var/log/wtmp 文件的作用

/var/log/wtmp 也是一个二进制文件，记录每个用户的登录次数和持续时间等信息。

可以用 last 命令输出 wtmp 中内容： last 显示到目前为止，成功登录系统的记录

[root@localhost ~]# last

root pts/2 192.168.1.8 Tue May 22 00:35 still logged in

root pts/2 192.168.1.8 Mon May 21 20:42 - 00:35 (03:53)

或：

【】# last -f /var/log/wtmp

3）使用 /var/log/btmp 文件查看暴力破解系统的用户

/var/log/btmp 文件是记录错误登录系统的日志。如果发现/var/log/btmp 日志文件比较大，大于 1M，就算大了，就说明很多人在暴力破解 ssh 服务，此日志需要使用 lastb 程序查看

【】# lastb

root ssh:notty localhost .cn Mon May 21 21:49 - 21:49 (00:00) root ssh:notty localhost .cn Mon May 21 21:49 - 21:49 (00:00)

发现后，

4）防火墙禁ip

使用防火墙，拒绝掉：命令如下：

iptables -A INPUT -i ens33 -s 192.168.1.13（暴力破解地址） -j DROP

#将新规则追加于尾部入站请求 ens33 网卡，地址是 192.168.1.13 的 IP，被丢弃。

5)清空日志：

方法 1：【】# > /var/log/btmp

方法 2： 【】rm -rf /var/log/btmp && touch /var/log/btmp

6)如何防止日志删除

【】# chattr +a /var/log/sshd.log

【】# lsattr /var/log/sshd.log

-----a---------- /var/log/sshd.log

【】# systemctl restart sshd

【】# cat /var/log/sshd.log #重启服务，查看日志有所增加

【】# chattr -a /var/log/sshd.log #取消，这里一定要取消，不然后面做日志切割

报错

三.日志的规则

1、日志的记录方式 分类 级别

1）日志的分类:

daemon    后台进程相关

kern      内核产生的信息

lpr       打印系统产生的

authpriv  安全认证

cron      定时相关

mail      邮件相关

syslog    日志服务本身的

news      新闻系统

local0-local7 8 个系统保留的类， 供其它的程序使用或者是用户自定义

2）日志的级别

: 轻重

3）类别.级别举例

authpriv.* 认证的信息存放 /var/log/secure

mail.* 邮件相关的信息 存放 -/var/log/maillog

cron.* 计划任务相关的信息 存放 /var/log/cron

local7.* 开机时显示的信息存放--> /var/log/boot.log

注：

“- ”号： 邮件的信息比较多,现将数据存储到内存,达到一定大小,全部写到硬盘.有利于减少 I/O 进程的开销 数据存储在内存,如果关机不当数据消失

四、rsyslog 日志服务

1》rhel5 ->服务名称 syslog ->配置文件 /etc/syslog.conf

2》rhel6-7 ->服务名称 rsyslog ->配置文件 /etc/rsyslog.conf

我们来查看一下

五、日志的配置文件信息：

编辑配置文件 vim /etc/rsyslog.conf

*.info;mail.none;authpriv.none;cron.none  /var/log/messages

authpriv.*        /var/log/secure

mail.*            -/var/log/maillog

cron.*            /var/log/cron

*.emerg :           omusrmsg:* （内核奔溃广播）

uucp,news.crit      /var/log/spooler

local7.*            /var/log/boot.log

注释：

#$UDPServerRun 514           #允许514端口接收使用UDP协议转发过来的日志

#$InputTCPServerRun 514      #允许514端口接收使用UDP协议转发过来的日志

#kern.* 内核类型的所有级别日志         存放到 /dev/console

*.info;mail.none;authpriv.none;cron.none          /var/log/messages

所有的类别级别是 info 以上 除了 mail,authpriv,cron (产生的日志太多,不易于查看)

1)日志输入的规则

. info      大于等于 info 级别的信息全部记录到某个文件

.=级别      仅记录等于某个级别的日志

例:.=info   只记录 info 级别的日志

.! 级别     除了某个级别意外,记录所有的级别信息

例.!err     除了 err 外记录所有

.none       指的是排除某个类别 例： mail.none 所有 mail 类别的日志都不记录

2)定义自己的日志方法

【】# vim /etc/rsyslog.conf

*.* /var/log/alert.log #在 62 行左右写入。*.*记录所有情况的日志。便于观看实验效果。保存到/var/log/alert.log

【】# systemctl restart rsyslog.service

关闭系统日志记录器： [确定]

启动系统日志记录器： [确定]

#重启 rsyslog 服务，使配置生效。

【】# ll /var/log/alert.log

-rw------- 1 root root 1520 11 月 13 18:22 /var/log/alert.log

如何防止日志删除

【】# chattr +a /var/log/sshd.log

【】# lsattr /var/log/sshd.log

-----a---------- /var/log/sshd.log

【】# systemctl restart sshd

【】# cat /var/log/sshd.log #重启服务，查看日志有所增加

【】# chattr -a /var/log/sshd.log #取消，这里一定要取消，不然后面做日志切割

报错

当日志太多，导致日志很文件大怎么办？ 3.2

六.日志的切割

1)logrotate 配置文件主要有：

/etc/logrotate.conf 以及 /etc/logrotate.d/ 这个子目录下的明细配置文件。

logrotate 的执行由 crond 服务调用的。

【】# vim /etc/cron.daily/logrotate #查看 logrotate 脚本内容

logrotate 程序每天由 cron 在指定的时间（/etc/crontab）启动

        日志是很大的,如果让日志无限制的记录下去 是一件很可怕的事情，日积月累就有几百兆占用磁盘的空间，如果你要找出某一条可用信息：

日志切割:

当日志达到某个特定的大小,我们将日志分类,之前的日志保留一个备份,再产生的日志创建一个同名的文件保存新的日志.

实战演示：

2)编辑配置文件

【】# vim /etc/logrotate.conf

说明：(全局参数)

weekly ： 每周执行回滚，或者说每周执行一次日志回滚

rotate： 表示日志切分后历史文件最多保存离现在最近的多少份 [rəʊˈteɪt] 旋转

create ： 指定新创建的文件的权限与所属主与群组

dateext ： 使用日期为后缀的回滚文件 #可以去/var/log 目录下看看

单独配置信息

其它参数说明：

monthly: 日志文件将按月轮循。其它可用值为‘daily’，‘weekly’或者‘yearly’。

rotate 5: 一次将存储 5 个归档日志。对于第六个归档，时间最久的归档将被删除。

compress: 在轮循任务完成后，已轮循的归档将使用 gzip 进行压缩。

delaycompress: 总是与 compress 选项一起用，delaycompress 选项指示 logrotate 不要将最近的归档压缩，

压缩将在下一次轮循周期进行。这在你或任何软件仍然需要读取最新归档时很有用。

missingok: 在日志轮循期间，任何错误将被忽略，例如“文件无法找到”之类的错误。

notifempty: 如果日志文件为空，轮循不会进行。

create 644 root root: 以指定的权限创建全新的日志文件，同时 logrotate 也会重命名原始日志文件。

prerotate/endscript：在日志轮替之前执行脚本命令。endscript 标识 prerotate 脚本结束。

postrotate/endscript：在日志轮替之后执行脚本命令。endscript 标识 postrotate 脚本结束。

sharedscripts：在此关键字之后的语句执行一次。

3)logrotate 命令：

格式：logrotate [选项] 配置文件名

选项：如果此命令不添加子选项，则会按照配置文件中的条件进行日志轮替。

-d：测试

-v：显示日志轮替过程。加-v 选项会显示日志的轮替过程。

-f：强制进行日志轮替。不管日志轮替的条件是否已经符合，强制配置文件中的所有日志进行轮替。

[root@localhost ~]# vim /etc/logrotate.d/all

[root@localhost ~]#systemctl restart rsyslog.service

[root@localhost ~]# logrotate -d /etc/logrotate.d/sshd #预演，不实际轮循

[root@localhost ~]# logrotate -vf /etc/logrotate.d/sshd #强制轮循，也就是说即使轮循条件没有满足，也可以通过加-f 强制让 logrotate 轮循日志文件

七、搭建远程日志收集服务器-日志切割

搭建日志服务器流程

前提：两台服务器之间可以互相通信

服务器端：

 1.开启端口TCP/UDP

编辑配置文件 vim /etc/rsyslog.conf

#$UDPServerRun 514           #允许514端口接收使用UDP协议转发过来的日志

#$InputTCPServerRun 514      #允许514端口接收使用UDP协议转发过来的日志

删除#号

 2.重启rsyslog

【】#systemctl restart rsyslog.service

 3.查看端口是否打开

    netstat   -anpt  找514

 4.关闭防火墙及保护机制

客户端

修改主机名  hostnamectl  set-hostname（用来在日志中区分）

1.自定义日志并且定义日志保存位置

【】vim /etc/rsyslog.conf

保存位置 TCP用@@IP  UDP用@IP

2.重启rsyslog 

 【】systemctl restart rsyslog.service

3.关闭防火墙及保护机制

列

日志服务器的设置

假设服务器端的服务器 IP 地址是 192.168.22.210，主机名是 localhost.localdomain；客户端的服务器 IP 地址是 192.168.22.211，主机名是 www1.我们现在要把 192.168.1.211 的日志保存到 192.168.1.210 这台服务器上。

例：

#客户端服务器端需要关闭 SELinux 和 firewalld。

1.服务器端（192.168.22.210）

【】# vim /etc/rsyslog.conf

$ModLoad imtcp

$InputTCPServerRun 514

#取消注释。

【】#systemctl restart rsyslog.service #重启服务。

【】# netstat -tlun | grep 514

tcp 0 0 0.0.0.0:514 0.0.0.0:* LISTEN

tcp 0 0 :::514 :::* LISTEN

2.客户端设定（192.168.22.211）

【】# hostname www1

【】# hostname

www1

【】# vim /etc/rsyslog.conf

*.* @@192.168.22.210：514

#把所有日志采用 TCP 协议发送到 192.168.22.210 的 514 端口上。默认修改位置为 61 行左右。

【】# systemctl restart rsyslog.service

例如：

【】# useradd roushan

【】# passwd roushan

#添加 roushan 用户，此时是 www1 主机名。

去服务器查看（192.168.22.210）：

【】# cat /var/log/secure | grep "www1"

总结：

1 计划任务-at-cron-计划任务使用方法

2 日志的种类和记录的方式-自定义日志类型和存储位置