【CyberSecurityLearning 42】日志记录规则

实验：日志实时更新到日志服务器

 实验拓扑图：

实验演示：

注意：每次还原快照要记得关闭NetworkManager、配置YUM源：（最好把这个拍快照）
方法：/etc/init.d/NetworkManger stop          chkconfig  --level 2345 NetworkManager（永久不开启）

实验任务1：实现windows主机能ping通192.168.1.1和172.16.1.1

1、首先把中间的linux日志服务器添加网卡，分别桥接到vmnet2和vmnet3

2、linux客户机可用linux日志服务器克隆

3、给linux日志服务器配置IP

cd /etc/sysconfig/network-scripts
vim ifcfg-eth0

DEVICE=eth0
TYPE=Ethernet
ONBOOT=yes
BOOTPROTO=none
IPADDR=192.168.1.254
NETMASK=255.255.255.0


cp ifcfg-eth0 ifcfg-eth1
vim ifcfg-eth1

DEVICE=eth1
TYPE=Ethernet
ONBOOT=yes
BOOTPROTO=none
IPADDR=172.16.1.254
NETMASK=255.255.255.0

重启网络服务：
/etc/init.d/network restart

4、给克隆出的linux客户机桥接到vmnet3，记得关闭NetworkManager、配置YUM源

方法：/etc/init.d/NetworkManger stop          chkconfig  --level 2345 NetworkManager（永久不开启）

如果虚拟机是克隆出来的（不会把mac也克隆，会改成一个新mac地址），输入ip addr没有eth0，变成了eth1
解决方法：

cd /etc/sysconfig/network-scripts
mv ifcfg-eh0 ifcfg-eth1
vim ifcfg-eth1

DEVICE=eth1
TYPE=Ethernet
ONBOOT=yes
BOOTPROTO=none
IPADDR=172.16.1.1
NETMASK=255.255.255.0
GATEWAY=172.16.1.254

/etc/initd.d/network restart

验证：ping 172.16.1.254    ping 192.168.1.254（都能通）

5、给window配置IP、网关，步骤省略

6、配置日志服务器路由转发功能
不设置路由转发功能的话window主机ping不通172.16.1.1

# sysctl -p （刷新内核配置文件）

修改配置文件：
vim /etc/sysctl.conf（这是内核的配置文件，路由转发是内核的功能）

设置路由转发功能

vim /etc/sysctl.conf      修改内核的配置文件
net.ipv4.ip_forward=1  开启路由转发功能
运行命令
sysctl -p 更新配置文件使其生效
启动路由转发

做一个日志的错误触发

1、vim  /etc/crontab
* * * * * root  cd /var/log; tar -zcf /opt/secure'dare+%H%M'.tar.gz  secure

2、重启crond服务验证

/etc/init.d/crond restart  验证错误日志记录

3、看日志

cat /var/log/cron  文件中查看错误信息

4、修改/etc/rsylog.conf

53行加入cron.*   /var/log/xxxx

5、重启日志服务配置

/etc/init.d/rsylog restart  观察xxx文件是否记录日志