centos authlog centos8官网下载教程

2025-1-9

帮忙分析/var/log/secure日志,是否被攻击

发布:独自等待

上天查看了服务器安全日志,防火墙屏蔽了处理了一些暴力破解ssh密码的ip(其中一个ip地址为北京一家有名的CDN服务提供商),然后删除了所有的/var/log/secure*日志文件。

今天再来查看日志的时候,发现/var/log/secure竟然没有记录,才想到直接删除日志文件的时候,对应的服务需要重启。运行命令:service syslog restart;service sshd restart后正常。

顺便复习下ssh在syslog中的设置的知识。

1、/etc/ssh/sshd_config中的设置:(即:SyslogFacility设为AUTHPRIV)

[root@mail~]# more/etc/ssh/sshd_config

#Port 22

# Logging

# obsoletes QuietMode and FascistLogging

#SyslogFacility AUTH

<strong>SyslogFacility AUTHPRIV</strong>

#LogLevel INFO

#就是把sshd的日志定义在authriv.info级别。

2、配合/etc/syslog.conf中的设置:

[root@mail~]# more/etc/syslog.conf

# Log all kernel messages to the console.

# Logging much else clutters up the screen.

#kern.*/dev/console

# Log anything(except mail) of level info or higher.

# Dont log private authentication messages!

*.info;mail.none;authpriv.none;cron.none/var/log/messages

# The authpriv file has restricted access.

<strong>authpriv.*/var/log/secur</strong>e

CentOS操作系统的22个log日志

常见的Linux操作系统登录文件有如下几个:

1)/var/log/secure:记录登录系统存取数据的文件;

例如pop3,ssh,telnet,ftp等都会记录在此.

2)/ar/log/wtmp:记录登录这的信息记录,被编码过,所以必须以last解析;

3)/var/log/message:jihu所有的开机系统发生的错误都会在此记录;

4)/var/log.boot.log:记录一些开机或者关机启动的一些服务显示的启动或者关闭的信息;

5)/var/log/maillog:记录邮件的存取和往来;

6)/var/log/cron:用来记录crontab这个服务的内容;

7)/var/log/httpd,/var/log/mysqld.log等等文件,记录几个不同的网络服务的记录文件;

8)/var/log/acpid, ACPI- Advanced Configuration and Power Interface,表示高级配置和电源管理接口。

后面的 d表示 deamon。 acpid也就是 the ACPI event daemon。也就是 acpi的消息进程。用来控制、获取、管理 acpi的状态的服务程序。

9)/var/run/utmp记录着现在登录的用户;

10)/var/log/lastlog记录每个用户最后的登录信息;

11)/var/log/btmp记录错误的登录尝试;

12)/var/log/dmesg内核日志;

13)/var/log/cpus CPU的处理信息;

14)/var/log/syslog事件记录监控程序日志;

15)/var/log/auth.log用户认证日志;

16)/var/log/daemon.log系统进程日志;

17)/var/log/mail.err邮件错误信息;

18)/var/log/mail.info邮件信息;

19)/var/log/mail.warn邮件警告信息;

20)/var/log/daemon.log系统监控程序产生的信息;

21)/var/log/kern内核产生的信息;

22)/var/log/lpr行打印机假脱机系统产生的信息;

如何在CentOS 7上安装Elasticsearch,Logstash和Kibana

您的ELK服务器将需要的CPU,RAM和存储量取决于您要收集的日志的卷。在本教程中,我们将使用具有以下规格的VPS用于我们的ELK服务器:

OS: CentOS 7

RAM: 4GB

CPU: 2

注:根据自己的服务器资源分配各个节点的资源

安装 Java 8

Elasticsearch和Logstash需要Java,所以我们现在就安装它。我们将安装最新版本的Oracle Java 8,因为这是Elasticsearch推荐的版本。

注:建议本地下载完最新版的JDK,然后上传到服务器的/usr/local/src目录

# JDK下载地址:

123123

然后使用此yum命令安装RPM(如果您下载了不同的版本,请在此处替换文件名):

yum-y localinstall jdk-8u111-linux-x64.rpm

# or

rpm-ivh jdk-8u111-linux-x64.rpm123123

现在Java应该安装在/usr/java/jdk1.8.0_111/jre/bin/java,并从/usr/bin/java链接。

安装 Elasticsearch

Elasticsearch可以通过添加Elastic的软件包仓库与软件包管理器一起安装。

运行以下命令将Elasticsearch公共GPG密钥导入rpm:

#

rpm--import

在基于RedHat的发行版的/etc/yum.repos.d/目录中创建一个名为elasticsearch.repo的文件,其中包括:

echo'[elasticsearch-5.x]

name=Elasticsearch repository for 5.x packages

baseurl=

gpgcheck=1

gpgkey=

enabled=1

autorefresh=1

type=rpm-md

'| sudo tee/etc/yum.repos.d/elasticsearch.repo123456789123456789

Elasticsearch源创建完成之后,通过makecache查看源是否可用,然后通过yum安装Elasticsearch:

yum makecache

yum install elasticsearch-y1212

要将Elasticsearch配置为在系统引导时自动启动,请运行以下命令:

sudo/bin/systemctl daemon-reload

sudo/bin/systemctl enable elasticsearch.service1212

Elasticsearch可以按如下方式启动和停止:

sudo systemctl start elasticsearch.service

sudo systemctl stop elasticsearch.service1212

这些命令不会提供有关Elasticsearch是否已成功启动的反馈。相反,此信息将写入位于/ var/ log/ elasticsearch/中的日志文件中。

默认情况下,Elasticsearch服务不会记录systemd日志中的信息。要启用journalctl日志记录,必须从elasticsearch中的ExecStart命令行中删除–quiet选项。服务文件。

#注释24行的--quiet\

vim/etc/systemd/system/multi-user.target.wants/elasticsearch.service1212

当启用systemd日志记录时,使用journalctl命令可以获得日志记录信息:

使用tail查看journal:

sudo journalctl-f11

要列出elasticsearch服务的日记帐分录:

sudo journalctl--unit elasticsearch11

要从给定时间开始列出elasticsearch服务的日记帐分录:

sudo journalctl--unit elasticsearch--since"2017-1-4 10:17:16"

# since表示指定时间之前的记录123123

使用man journalctl查看journalctl更多使用方法

检查Elasticsearch是否正在运行

您可以通过向localhost上的端口9200发送HTTP请求来测试Elasticsearch节点是否正在运行:

curl-XGET'localhost:9200/?pretty'

1212

我们能得到下面这样的回显:

{

"name":"De-LRNO",

"cluster_name":"elasticsearch",

"cluster_uuid":"DeJzplWhQQK5uGitXr8jjA",

"version":{

"number":"5.1.1",

"build_hash":"5395e21",

"build_date":"2016-12-06T12:36:15.409Z",

"build_snapshot": false,

"lucene_version":"6.3.0"

},

"tagline":"You Know, for Search"

}1234567891011121312345678910111213

配置 Elasticsearch

Elasticsearch从默认的/etc/elasticsearch/elasticsearch.yml加载配置文件,

配置文件的格式考:

[root@linuxprobe~]# egrep-v"^#|^$"/etc/elasticsearch/elasticsearch.yml

[root@linuxprobe~]# egrep-v"^#|^$"/etc/elasticsearch/elasticsearch.yml

node.name: node-1

path.data:/var/lib/elasticsearch

path.logs:/var/log/elasticsearch

network.host: 10.1.1.53#默认localhost,自定义为ip

http.port: 920012345671234567

RPM还具有系统配置文件(/etc/sysconfig/elasticsearch),允许您设置以下参数:

[root@linuxprobe elasticsearch]# egrep-v"^#|^$"/etc/sysconfig/elasticsearch

ES_HOME=/usr/share/elasticsearch

JAVA_HOME=/usr/java/jdk1.8.0_111

CONF_DIR=/etc/elasticsearch

DATA_DIR=/var/lib/elasticsearch

LOG_DIR=/var/log/elasticsearch

PID_DIR=/var/run/elasticsearch12345671234567

日志配置

Elasticsearch使用Log4j 2进行日志记录。 Log4j 2可以使用log4j2配置。属性文件。 Elasticsearch公开单个属性${sys:es。日志},可以在配置文件中引用以确定日志文件的位置;这将在运行时解析为Elasticsearch日志文件的前缀。

例如,如果您的日志目录是/var/log/elasticsearch并且您的集群名为production,那么${sys:es。 logs}将解析为/var/log/elasticsearch/production。

默认日志配置存在:/etc/elasticsearch/log4j2.properties

安装 Kibana

Kibana的RPM可以从ELK官网或从RPM存储库下载。它可用于在任何基于RPM的系统(如OpenSuSE,SLES,Centos,Red Hat和Oracle Enterprise)上安装Kibana。

导入Elastic PGP Key

我们使用弹性签名密钥(PGP密钥D88E42B4,可从)签名所有的包,指纹:

rpm--import

创建kibana源

echo'[kibana-5.x]

name=Kibana repository for 5.x packages

baseurl=

gpgcheck=1

gpgkey=

enabled=1

autorefresh=1

type=rpm-md

'| sudo tee/etc/yum.repos.d/kibana.repo123456789123456789

kibana源创建成功之后,makecache后使用yum安装kibana:

yum makecache&& yum install kibana-y11

使用systemd运行Kibana

要将Kibana配置为在系统引导时自动启动,请运行以下命令:

sudo/bin/systemctl daemon-reload

sudo/bin/systemctl enable kibana.service1212

Kibana可以如下启动和停止

sudo systemctl start kibana.service

sudo systemctl stop kibana.service1212

配置Kibana

Kibana默认从/etc/kibana/kibana.yml文件加载其配置。

参考:

注意:本实验教程把localhost都改成服务器IP,如果不更改localhost,需要设置反向代理才能访问到kibana。

在同一服务器上安装一个Nginx反向代理,以允许外部访问。

安装nginx

配置Kibana在localhost上监听,必须设置一个反向代理,允许外部访问它。本文使用Nginx来实现发向代理。

创建nginx官方源来安装nginx

#

echo'[nginx]

name=nginx repo

baseurl=$releasever/$basearch/

gpgcheck=0

enabled=1

'| sudo tee/etc/yum.repos.d/nginx.repo1234567812345678

使用yum安装nginx和httpd-tools

yum install nginx httpd-tools-y11

使用htpasswd创建一个名为“kibanaadmin”的管理员用户(可以使用其他名称),该用户可以访问Kibana Web界面:

[root@linuxprobe~]# htpasswd-c/etc/nginx/htpasswd.users kibanaadmin

New password:#自定义

Re-type new password:

Adding password for user kibanaadmin12341234

使用vim配置nginx配置文件

[root@linuxprobe~]# egrep-v"#|^$"/etc/nginx/conf.d/kibana.conf

server{

listen 80;

server_name kibana.aniu.co;

access_log/var/log/nginx/kibana.aniu.co.access.log main;

error_log/var/log/nginx/kibana.aniu.co.access.log;

auth_basic"Restricted Access";

auth_basic_user_file/etc/nginx/htpasswd.users;

location/{

proxy_pass ;

proxy_http_version 1.1;

proxy_set_header Upgrade$http_upgrade;

proxy_set_header Connection'upgrade';

proxy_set_header Host$host;

proxy_cache_bypass$http_upgrade;

}

}12345678910111213141516171234567891011121314151617

阅读剩余
版权声明:
作者:云服务器测评
链接:https://www.i40.top/linux/3917.html
文章版权归作者所有,未经允许请勿转载。
THE END
authlogcentos官网教程
centos auth centos-base.repo
<<上一篇
centos authlog?centos命令
下一篇>>
相关推荐
龙芯ubuntu,arm版本的ubuntu系统
鼠标退出centos(centos图形界面)
龙芯 linux?龙芯中科官网
龙芯ubuntu(ubuntu18.04下载)
鼠标 linux linux鼠标怎么移出来
默认启动linux linux启动nginx命令
默认ubuntu启动?ubuntu默认密码
黑苹果 ubuntu,opencore黑苹果
黑马linux 黑马云计算
黑武器linux?Linux杀毒软件