RHEL7中的系统日志管理和网络管理

一、系统日志管理

在rhel 7 中有两个日志服务，分别是rsyslog和新添加的systemd-journal

• rsyslog日志管理（日志太分散了）

rsyslog作为传统的日志管理服务，会把收集到的所有日志文件都放到/var/log/下的各个日志文件中，常见日志文件如下：

        /var/log/message    大多数系统日志文件都会记录到该文件下

        /var/log/secure        安全与认证授权

        /var/log/mailog        邮件服务

        /var/log/cron            crond计划任务日志

        /var/log/boot.log      系统启动

• 审查syslog日志

syslog的配置文件在/etc/rsyslog.conf

rsyslog日志可以随意篡改，安全性比较差。

syslog日志分为以下几个属性（级别）：根据不同的级别来存储日志，级别从下到上增强

         1）emerg

         2）alert

         3）crit

         4）error

         5）warnning

         6）notice

         7）info

         8）debug       

通常使用的日志查询的方式：tailf /var/log/message     #动态的显示文件后十行，进程一直处于前台，日志更新后会马上显示出来。

• syslog日志管理存在的问题（rsyslog是syslog的改进版）

        1）消息的内容无法验证。么一个本地进程都可以说自己是Apache，而syslog也就信了。

        2）时间戳里不包含时区的信息。

        3）日志很容易篡改。

        4）不处理系统开机早期和关机晚期的日志。

• systemd-journald日志管理

        1） systemd-journald是一个改进型的日志管理服务，可以用来收集来自内核、系统重启的启动阶段日志、系统守护进程在启动和运行中的标准输出和错误信息，还有syslog日志。

        2）该日志服务仅仅把日志集中保存在单一结构化的日志文件/run/log中，默认情况下不会一直保存日志，每次重启后日志都会丢失。另外，rsyslog无法收集到日志也会被systemd-jornal记录到。

• journal日志管理查看方式：

journalctl     #查看所有日志

journalctl -n 5  #查看后五条日志

journalctl -p  info       #指定类型查看日志，如error、debug等

journalctl -f         #不断输出最后十条日志。相当于 tailf

journalctl --since today   #查看今天的日志

journalctl --since “2018-8-8 14:4:4” --until “2018-9-2 14:5:5”#查看某个时间段的日志

journalctl -o verbose       #查看日志的详细信息

journalctl _SYSTEMD_UNIT=sshd.service _PID=1182  #按服务名或者PID号查看日志

• 保存systemd-journal日志

持久化保存journal日志，默认只会保存一个月。

mkdir /var/log/journal

chown root:systemd-journal /var/log/journal

chmod 2755 /var/log/journal

killall -USR1 systemd-journald

二、网络管理

• 在rhel 7中查看ip地址通常使用ip add show
• 网卡配置文件存放目录：/etc/sysconfig/network-scripts/
• nmcli （networkManager command line interface）

nmcli 系列的命令大多数都可以用Tab键补全，双击则为提示。

nmcli device      #查看当前系统的网卡

注：1.在Linux中网卡叫interface，配置文件叫connection。

      2. nmcli device 只要是这两个词开头的都是对网卡的操作。注：网卡是硬件。nmcli device status

nmcli device show 网卡名             #查看网卡详细信息

nmcli device connect 网卡名         #将网卡插到主板上

nmcli device disconnect 网卡名     #将网卡拔掉

网卡有什么样的配置取决于网卡的配置文件，所以配置文件操作很重要。

nmcli connection show     #查看有哪些配置文件

nmcli connection show 配置文件名    #查看配置文件的具体内容

nmcli connection add            #添加配置文件

如果是添加配置文件，至少要有con-name配置文件名称 ，type配置文件类型，ifname网卡名称自定义的参数不能补全，但是type ifname就能补全。

1.nmcli connection add con-name net1 type ethernet ifname ens33 ipv4.addresses 1.1.1.1/24 ipv4.gateway 1.1.1.254 ipv4.dns 8.8.8.8 ipv4.method manual       给ens33添加一个配置文件（此命令适用于redhat 7.1以后的版本）

2.nmcli connection add con-name qwe type ethernet ifname eno16777736 ip4  1.1.1.1/24 gw4 1.1.1.254（此命令适用于redhat 7.0版本）

nmcli connection modify  文件名      #修改配置文件

nmcli connection delete       #删除配置文件

nmcli connection up             #激活以下配置文件     注意：凡是刚添加的或者修改过的配置文件，都必须要激活后才能使用。

nmcli connection down        #关闭配置文件

注意：在新建虚拟机的时候，开机发现没有分配到ip地址。此时可以用nmcli connection up 激活一下配置文件，然后你就会惊喜的发现虚拟机有IP地址了。前提是你的虚拟机软件开启了DHCP。