1. 总结日志分类, 优先级别。图文并茂解释应用如何将日志发到rsyslog,并写到目标。

日志的分类（facility 设施），从功能或程序上对日志进行分类。分为内置分类和自定义类
内置分类：auth，authpriv，cron，daemon，ftp，kern，lpr，mail，news，security，user，uucp， syslog
自定义分类：local1~ local7

日志的优先级别（Priority），从低到高：
debug，info，notice，warn，err，crit，alert，emerg

2.完成功能，sshd应用将日志写到rsyslog的local6分类，过滤所有级别，写入到/var/log/ssh.log。

第一步-打开修改ssh服务的主配置文件，修改日志配置
root@ubuntu2004:~# vim /etc/ssh/sshd_config

自定义写在local6分类中

第二步-在rsyslog的rules主配置文件中定义LOCAL6日志写到/var/log/ssh.log目录文件中
root@ubuntu2004:~# vim /etc/rsyslog.d/50-default.conf

过滤所有级别，写入到/var/log/ssh.log

第三步-修改完配置文件后重启服务
systemctl restart sshd #重启ssh服务
systemctl restart rsyslog.service #重启rsyslog服务

3. 完成功能，将3个主机(要求主机名为ip)的ssh日志，通过rsyslog服务将ssh日志写入到集中的主机上的rsyslog服务，写入到/var/log/all-ssh.log文件。

准备远程三台主机：10.0.0.8    10.0.0.18    10.0.0.100    Rsyslog服务器主机：10.0.0.155

第一步 配置Rsyslog服务器主机打开rsyslog配置文件开启使用udp通信协议（也可以使用tcp协议）/etc/rsyslog.conf

修改配置文件，打开udp传输协议，然后重启rsyslog服务

确认默认端口号514是否打开

定义将收集到的ssh日志存放到指定的/var/log/all_ssh.log文件中    /etc/rsyslog.d/50-default.conf

修改完成配置文件后，重启rsyslog服务

第二步 将三台远程主机的ssh服务日志定义到local6类中，修改远程主机的配置文件 vim /etc/ssh/sshd_config

自定义local6类

定义local6类日志和级别输出到远程主机10.0.0.155，修改远程主机的配置文件 vim /etc/rsyslog.conf（红帽）vim /etc/rsyslog.d/50-default.conf（Ubuntu）

日志输出指向rsyslog服务器

第三步 重启远程主机的sshd服务和rsyslog服务

远程主机重新使用ssh服务登录账号时，rsyslog服务器主机上可以看到ssh日志

4. 总结/var/log/目录下常用日志文件作用。

常见的日志文件：
/var/log/secure红帽系统)，/var/log/auth.log (Ubuntu)：系统安全日志，文本格式，应周期性分析

/var/log/btmp：当前系统上，用户的失败尝试登录相关的日志信息，二进制格式，lastb命令进行查看

/var/log/wtmp：当前系统上，用户正常登录系统的相关日志信息，二进制格式，last命令可以查看

/var/log/boot.log：系统服务启动的相关信息，文本格式，Ubuntu无此文件

/var/log/messages(红帽系统)，/var/log/syslog (Ubuntu) ：系统中大部分的信息

5. 总结journalctl命令的选项及示例。

日志管理工具：journalctl
工具配置文件：/etc/systemd/journald.conf
常用选项 ：
-a 完整显示所以字段内容

-f 只显示最新的日志

-e 立即跳转到日志的尾部

-r 反转日志行的输出顺序

-n 查看指定行数的日志

--since 查看指定时间的日志

-u 查看某个指定的unit日志

6. 完成将多个主机（要求主机名为ip)的nginx日志集中写入到mysql表中。

流程结构图：

两台Nginx主机日志汇总到rsyslog服务器主机，再输出到MySQL

第一步，在rsyslog服务器上安装连接MySQL的模块组件

在模块配置文件中指定MySQL的地址账号等信息

vim /etc/rsyslog.d/myql.conf

修改日志传输模块和指定传输通讯协议

vim /etc/rsyslog.conf

第二步，准备数据库

第三步，将Nginx主机的nginx日志定义为local7类，并指向rsyslog服务器地址

Ubuntu

Rocky

Nginx主机的配置文件 /etc/rsyslog.d/50-default.conf

第四步，将汇总的日志存放到指定文件目录中，并创建数据库表导入到数据库

rsyslog服务器的/etc/rsyslog.d/50-default.conf配置文件

已经可以在日志文件中查看到Nginx的访问日志信息了

尝试一下是否能远程连接到数据库，并利用rsyslog-mysql模块的表创建脚本在Syslog数据库中创建表

可以在数据库Syslog的表SystemEvents中查看到日志内容

select * from SystemEvents;

7. 尝试使用logrotate服务切割nginx日志，每天切割一次，要求大于不超过3M, 保存90天的日志, 旧日志以时间为后缀，要求压缩。

开启dateext选项

每天切割一次，要求大于不超过3M, 保存90天的日志, 旧日志以时间为后缀，要求压缩

8.总结 LVS的NAT和DR模型工作原理，并完成DR模型实战。

LVS的NAT模型：修改请求报文的目标IP，多目标IP的DNAT模式，工作在OSI模型的第四层传输层，支持端口映射修改，请求报文和响应报文都要经过LVS
LVS的DR模型：操纵封装新的MAC地址，请求报文要经由Director，但响应报文不经由Director，而由RS直接发往Client，不支持端口映射

DR模型：

DR模型机构图

准备两台后端服务器模拟web，一台LVS负载均衡服务器，一台路由器，一台客户端

客户端模拟外网，使用仅主机网络，网关指向路由器仅主机网络地址

路由器配置两个网卡，一个仅主机网络192.168.10.100，一个NAT网络10.0.0.100，并开启路由器主机的ip_forward参数

LVS服务器的回环网卡上配置32位子网掩码的VIP地址，并将网关指向路由器NAT网络地址，LVS不修改回环网卡内核参数

客户端尝试ping到LVS服务器网络可用

在每台后端web服务器回环网卡上配置32位子网掩码的VIP地址，并关闭回环地址内核参数ignore和announce ，防止地址冲突

在每台后端web服务器回环网卡上配置32位子网掩码的VIP地址，并关闭回环地址内核参数ignore和announce，防止地址冲突

在每台后端web服务器上修改回环网卡内核参数

在LVS服务器上创建集群，并添加集群成员

在客户端ping集群VIP地址，实现后端web服务器的轮询负载均衡