| 链接 | 端口 |
| subscription.rhn.redhat.com | 443 |
| subscription.rhsm.redhat.com | 443 |
| cdn.redhat.com | 443 |
| *.akamaiedge.net | 443 |
| *.akamaitechnologies.com | 443 |
| 链接 | 端口 |
| scc.suse.com | 443 |
| updates.suse.com | 443 |
| installer-updates.suse.com | 443 |
https://access.redhat.com/solutions/6209112
https://www.suse.com/support/kb/doc/?id=000020836
(只在服务端上执行以下步骤)
# vi /etc/audit/auditd.conf将部分内容修改如下:
......
tcp_listen_port = 1000
......(补充:这里以设置 TCP 端口号 1000 作为搜集 auditd 日志时使用的端口为例)
(只在服务端上执行以下步骤)
# semanage port -a -t audit_port_t -p tcp 1000(补充:这里以给 TCP 端口号 1000 打上 auditd 的 SELinux 标签为例)
(只在服务端上执行以下步骤)
# service auditd restart(只在客户端上执行以下步骤)
# dnf install audispd-plugins(注意:只在 RHEL 8 和 RHEL 8 之后版本的 RHEL 上进行此操作)
(只在客户端上执行以下步骤)
如果是 RHEL 7 和 RHEL 7 之前的版本 RHEL:
# vim /etc/audisp/plugins.d/syslog.conf将部分内容修改如下:
......
remote_server = 192.168.0.1
......
port = 1000
......(补充:这里以将 audit 日志发送到 IP 地址是 192.168.0.1 端口是 1000 的远端日志搜集服务器的为例)
如果是 RHEL 8 和 RHEL 8 之后版本的 RHEL:
# vim /etc/audit/plugins.d/syslog.conf将部分内容修改如下:
......
remote_server = 192.168.0.1
......
port = 1000
......(补充:这里以将 audit 日志发送到 IP 地址是 192.168.0.1 端口是 1000 的远端日志搜集服务器的为例)
(只在客户端上执行以下步骤)
如果是 RHEL 7 和 RHEL 7 之前的版本 RHEL:
# vim /etc/audisp/plugins.d/syslog.conf将部分内容修改如下:
......
active = yes
direction = out
path = /sbin/audisp-remote
type = always
#args =
format = string
......如果是 RHEL 8 和 RHEL 8 之后版本的 RHEL:
# vim /etc/audit/plugins.d/syslog.conf将部分内容修改如下:
......
active = yes
direction = out
path = /sbin/audisp-remote
type = always
#args =
format = string
......(只在客户端上执行以下步骤)
# service auditd restart(只在客户端上执行以下步骤)
# auditctl -m "This is a test auditd message from client"(补充:这里以在 auditd 日志里写入 1 条内容是 “This is a test auditd message from client” 的日志为例)
(只在服务端上执行以下步骤)
(步骤略)
https://access.redhat.com/solutions/28676
# dnf install audispd-plugins(注意:只在 RHEL 8 和 RHEL 8 之后版本的 RHEL 上进行此操作)
如果是 RHEL 7 和 RHEL 7 之前的版本 RHEL:
# vim /etc/audisp/plugins.d/syslog.conf将部分内容修改如下:
......
active = yes
......
args = LOG_INFO LOG_LOCAL3
......(补充:这里以将 auditd 日志转换成系统的 local3 日志为例)
如果是 RHEL 8 和 RHEL 8 之后版本的 RHEL:
# vim /etc/audit/plugins.d/syslog.conf将部分内容修改如下:
......
active = yes
......
args = LOG_INFO LOG_LOCAL3
......(补充:这里以将 auditd 日志转换成系统的 local3 日志为例)
# vi /etc/rsyslog.conf添加以下内容:
......
local3.info @remotesyslog.com
local3.info stop(补充:这里以将 local3 日志传送到远端的日志搜集服务器 remotesyslog.com 为例)
如果是 RHEL 6 和 RHEL 6 之前的版本 RHEL:
# service rsyslog restart
# service auditd restart如果是 RHEL 7 和 RHEL 7 之后版本的 RHEL:
# systemctl restart rsyslog
# service auditd restart# auditctl -m "This is a test auditd message from client"(补充:这里以在 auditd 日志里写入 1 条内容是 “This is a test auditd message from client” 的日志为例)
# tail -f /var/log/messages
...... auditd[......]: ......(补充:此时可以看到 /var/log/messages 系统日志里有和 auditd 相关的日志)
(步骤略)
https://access.redhat.com/solutions/28676
| 级别 | 关键字 | 描述 | 内容 |
| 0 | EMERG | 致命级 (KERN_EMESG) | 紧急,系统本身已经无法再运行必须马上拯救 |
| 1 | ALERT | 警戒级 (KERN_ALERT) | 警报,系统出现了重大错误必须马上处理的情况 |
| 2 | CRIT | 临界级 (KERN_CRIT) | 严重,系统出现了严重的情况 |
| 3 | ERR | 错误级 (KERN_ERR) | 错误,系统出现了错误的情况 |
| 4 | WARNING | 告警级 (KERN_WARN) | 警告,系统出现了需要警告的情况 |
| 5 | NOTICE | 注意级 (KERN_NOTICE) | 注意,系统出现了需要注意的情况 |
| 6 | INFO | 通知级 (KERN_INFO) | 信息,系统出现了一些情况 |
| 7 | DEBUG | 调试级 (KERN_DEGUG) | 调试,系统出现了程序或服务调试的情况 |
# cat /proc/sys/kernel/printk
4 4 1 7(
补充:
1) 第 1 个 4 代表只有比等级为 4 的日志更紧急的日志会显示在 console 口
2) 第 2 个 4 代表当某条日志没有等级时默认会将其日志等级设置为 4
3) 第 3 个 1 代表会显示在 console 口上的日志的最高紧急度 (在这个文件中 1 已经是所有等级中紧急度最高的等级了)
4) 第 4 个 7 代表当系统启动时,启动时所产生的日志默认的紧急等级
)
# sysctl -w kernel.printk=3或者:
# echo "3" > /proc/sys/kernel/printk(补充:这里以设置把等级为 3 或者更紧急的日志显示在 console 口为例)
# cat /proc/sys/kernel/printk
3 4 1 7(
补充:
1) 第 1 个 3 代表只有比等级为 4 的日志更紧急的日志会显示在 console 口
2) 第 2 个 4 代表当某条日志没有等级时默认会将其日志等级设置为 4
3) 第 3 个 1 代表会显示在 console 口上的日志的最高紧急度 (在这个文件中 1 已经是所有等级中紧急度最高的等级了)
4) 第 4 个 7 代表当系统启动时,启动时所产生的日志默认的紧急等级
)
https://linuxconfig.org/introduction-to-the-linux-kernel-log-levels
> cat /proc/cmdline
BOOT_IMAGE=/vmlinuz-6.4.0-150600.23.50-default root=/dev/mapper/vg-lv resume=/dev/disk/by-uuid/52g36p8s-29l6-2g4l-meqo-5o30l48s4839 splash=silent quiet mitigations=auto audit_backlog_limit=8192 audit=1 rd.shell=0 showopts LANG=C crashkernel=186M,high