1023.990天：Linux CentOS 7搭建日志服务器

Posted 2023-04-27

参考技术A #每日三件事，第990天#

      《中华人民共和国网络安全法》第二十一条第一款第三项规定网络运营者应采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月。在GB/T22239《网络安全等级保护基本要求》的安全计算环境中，对安全审计也有明确的要求。

      在落实法律义务和责任，开展网络安全等级保护工作的过程中，日志服务器成了必不可少的一项。商用的日志审计系统固然好，但利用CentOS7也可以做一个简单的日志服务器，收集网络中其他设备的日志信息。

日志服务器端的配置：

yum install syslog，其实CentOS7默认就已经安装了rsyslog服务。系统会自动检测，并不会重新安装一遍syslog服务。

vim /etc/rsyslog.conf，找到#Providers TCP syslog reception这一行，把下面两行前面的#去掉即可：

#Providers TCP syslog reception

$ModLoad imtcp

$InputTCCPServerRun 514

======分割线 ======

在/etc/rsyslog.d/创建一个名为client_ip.conf的文件，每个日志发送客户端创建一个文件。我的实验环境中有一个ip为192.168.1.1的客户端，因此创建一个192.168.1.1.conf的文件。

vim /etc/rsyslog.d/192.168.1.1.conf

:fromhost-ip,isequal, "192.168.1.1" /var/log/client/192.168.1.1.log

systemctl restart rsyslog

重启之后一定要检查一下，使用命令：systemctl status rsyslog，并且保证rsyslog服务能够在开机时自动启动。

客户端的配置如下：

vim  /etc/rsyslog.conf，去掉#Providers TCP syslog reception下面两行的注释：

#Providers TCP syslog reception

$ModLoad imtcp

$InputTCCPServerRun 514

在最后一行添加：

*.*. @@192.168.1.10:514

其中192.168.1.10是日志服务器的IP地址。

systemctl restart rsyslog，并查看rsyslog的状态，保证服务在开机时自动启动。

此时在日志服务器上就可以接收到客户端发来的日志信息了。

centos7和centos6的区别

centos7和centos6区别：

1、内核：centos7的内核用的是3.10，centos6的内核用的是2.6.

2、文件系统：centos6.X：EXT4，EXT4的单个文件系统容量达到1EB，单个文件大小则达到16TB;centos7.X:XFS，XFS默认支持8EB见1字节的单个文件系统，最大可支持的文件大小为9EB，最大文件系统尺寸为18EB。

3、硬盘默认调度算法：centos6默认使用的是cfq，而centos7使用的是deadline。

4、防火墙：centos6，iptables防火墙;centos7，firealld防火墙。

5、数据库：centos6默认数据库是MySQL;centos7默认数据库是MariaDB。

6、网卡名：CentOS6网卡名是eth0;CentOS7网卡名是ens33。

7、网络配置命令：CentOS6中ifconfig/set;CentOS7中ip/nmtui，查看ip命令是ip address show。

8、网络服务：CentOS6默认使用network服务，CentOS7默认使用NetworkManager服务。

9、时间同步：CentOS6，ntpq-p;CentOS7，chronyc sources。

参考技术A CentOS 7 vs CentOS 6的区别如下：

(1)桌面系统
[CentOS6] GNOME 2.x
[CentOS7] GNOME 3.x（GNOME Shell）

(2)文件系统
[CentOS6] ext4
[CentOS7] xfs

(3)内核版本
[CentOS6] 2.6.x-x
[CentOS7] 3.10.x-x

(4)启动加载器
[CentOS6] GRUB Legacy (+efibootmgr)
[CentOS7] GRUB2

(5)防火墙
[CentOS6] iptables
[CentOS7] firewalld

(6)默认数据库
[CentOS6] MySQL
[CentOS7] MariaDB

(7)文件结构
[CentOS6] /bin, /sbin, /lib, and /lib64在/下
[CentOS7] /bin, /sbin, /lib, and /lib64移到/usr下

(8)主机名
[CentOS6] /etc/sysconfig/network
[CentOS7] /etc/hostname

(9)时间同步
[CentOS6]
$ ntp
$ ntpq -p

[CentOS7]
$ chrony
$ chronyc sources

(10)修改时间
[CentOS6]
$ vim /etc/sysconfig/clock
ZONE="Asia/Tokyo"
UTC=fales
$ sudo ln -s /usr/share/zoneinfo/Asia/Tokyo /etc/localtime

[CentOS7]
$ timedatectl set-timezone Asia/Tokyo
$ timedatectl status

(11)修改地区
[CentOS6]
$ vim /etc/sysconfig/i18n
LANG="ja_JP.utf8"
$ /etc/sysconfig/i18n
$ locale

[CentOS7]
$ localectl set-locale LANG=ja_JP.utf8
$ localectl status

(12)服务相关

1）启动停止
[CentOS6]
$ service service_name start
$ service service_name stop
$ service sshd restart/status/reload

[CentOS7]
$ systemctl start service_name
$ systemctl stop service_name
$ systemctl restart/status/reload sshd

自启动
[CentOS6]
$ chkconfig service_name on/off

[CentOS7]
$ systemctl enable service_name
$ systemctl disable service_name

服务一览
[CentOS6]
$ chkconfig --list

[CentOS7]
$ systemctl list-unit-files
$ systemctl --type service

强制停止
[CentOS6]
$ kill -9 <PID>

[CentOS7]
$ systemctl kill --signal=9 sshd

(13)网络

1）网络信息
[CentOS6]
$ netstat
$ netstat -I
$ netstat -n

[CentOS7]
$ ip n
$ ip -s l
$ ss

2）IP地址MAC地址
[CentOS6]
$ ifconfig -a

[CentOS7]
$ ip address show

3）路由
[CentOS6]
$ route -n
$ route -A inet6 -n

[CentOS7]
$ ip route show
$ ip -6 route show

(14)重启关闭

1）关闭
[CentOS6]
$ shutdown -h now

[CentOS7]
$ poweroff
$ systemctl poweroff

2）重启
[CentOS6]
$ reboot
$ shutdown -r now

[CentOS7]
$ reboot
$ systemctl reboot

3）单用户模式
[CentOS6]
$ init S

[CentOS7]
$ systemctl rescue

4）启动模式
[CentOS6]
[GUICUI]
$ vim /etc/inittab
id:3:initdefault:
[CUIGUI]
$ startx

[CentOS7]
[GUICUI]
$ systemctl isolate multi-user.target
[CUIGUI]
$systemctl isolate graphical.target
默认
$ systemctl set-default graphical.target
$ systemctl set-default multi-user.target
当前
$ systemctl get-default本回答被提问者采纳