logserver

一. 以yum方式安装kibana 1 [root@LogServer yum .repos.d]# sudo yum install kibana 2 Loaded plugins: fastestmirror, langpacks 3 base | 3.6 kB 00 : 00 : 00 4 docker-ce-stable | 3.5 kB 00 : 00 : 00 5 elastic- 7 .x | 1.3 kB 00 : 00 : 00 6 extras | 3.4 kB 00 : 00 : 00 7 rsyslog_v8 | 2.5 kB 00 : 00 : 00 8 updates | 3.4 kB 00 : 00 : 00 9 Loading mirror speeds from cached hostfile 10 * base: ap.stykers.moe 11 * extras: centos.ustc.edu.cn 12 * updates: ap.stykers.moe 13 Resolving Dependencies 14 --> Running transaction check 15 ---> Package kibana.x86_64 0 : 7.4 . 0 - 1 will be installed 16 --> Finished

Linux系统下可通过history命令查看用户所有的历史操作记录，在安全应急响应中起着非常重要的作用，但在未进行附加配置情况下，history命令只能查看用户历史操作记录，并不能区分用户以及操作时间，不便于审计分析。 当然，一些不好的操作习惯也可能通过命令历史泄露敏感信息。 下面我们来介绍如何让history日志记录更细化，更便于我们审计分析。 1、命令历史记录中加时间 默认情况下如下图所示，没有命令执行时间，不利于审计分析。 通过设置export HISTTIMEFORMAT=’%F %T ‘，让历史记录中带上命令执行时间。 注意”%T”和后面的”’”之间有空格，不然查看历史记录的时候，时间和命令之间没有分割。 要一劳永逸，这个配置可以写在/etc/profile中，当然如果要对指定用户做配置，这个配置可以写在/home/$USER/.bash_profile中。 本文将以/etc/profile为例进行演示。 要使配置立即生效请执行source /etc/profile，我们再查看history记录，可以看到记录中带上了命令执行时间。 如果想要实现更细化的记录，比如登陆过系统的用户、IP地址、操作命令以及操作时间一一对应，可以通过在/etc/profile里面加入以下代码实现 export HISTTIMEFORMAT=”%F %Twho -u am i 2>/dev

之前，我们的某一个业务用于实时日志收集处理的架构大概是这样的： 在日志的产生端（LogServer服务器），都部署了FlumeAgent，实时监控产生的日志，然后发送至Kafka。经过观察，每一个FlumeAgent都占用了较大的系统资源（至少会占用一颗CPU 50%以上的资源）。而另外一个业务，LogServer压力大，CPU资源尤其紧张，如果要实时收集分析日志，那么就需要一个更轻量级、占用资源更少的日志收集框架，于是我试用了一下Filebeat。 Filebeat是一个开源的文本日志收集器，采用go语言开发，它重构了logstash采集器源码，安装在日志产生服务器上来监视日志目录或者特定的日志文件，并把他们发送到logstash、elasticsearch以及kafka上。Filebeat是代替logstash-forwarder的数据采集方案，原因是logstash运行在jvm上，对服务器的资源消耗比较大（Flume也是如此）。正因为Filebeat如此轻量级，因此不要奢望它能在日志收集过程中做更多清洗和转换的工作，它只负责一件事，就是高效可靠的传输日志数据，至于清洗和转换，可以在后续的过程中进行。 Filebeat官网地址为：https://www.elastic.co/guide/en/beats/filebeat/current/index.html

测试脚本每分钟输出时间和ntpq查询 [root@logserver2 ~]# less date.sh #!/bin/sh while [ true ]; do ntpq -p >> ntpq.txt date >> date1.txt /bin/sleep 1m done 将ntpd服务运行正常时将时间调慢11分钟，以下序列号是在vi里设置的 2 2020年 04月 16日 星期四 14:21:28 CST 3 2020年 04月 16日 星期四 14:10:28 CST 命令ntpq -p查询中poll1024表示210秒与ntp服务器同步一次（3分30秒不知道理解是否正确） 7 remote refid st t when poll reach delay offset jitter 8 ============================================================================== 9 *192.40.0.150 192.40.1.150 4 u 4971 1024 377 1.253 4.537 3.712 11分钟（4个同步周期）后检测出了时间偏差720202毫秒（12分钟） 40 remote refid st t when poll reach delay offset jitter 41 =======