实验环境

网关  classroom  172.25.8.254

workstation 172.25.8.9

server a-jeth0 172.25.8.10-外网

eth1 192.168.0.x内网

eth2 192.168.1.x备用

--------------------------------------------

需求：

设计：

原理：日志的作用，1）排错 2）日志分析 3）日志量：日志分析工具

日志分析：

http为例组成：client ip 日期 时间 时区 http指令 path http协议版本 http访问代码

大小 跳转页 浏览器内核 图形化 os 浏览器版本

分析：访问量为ie日志的行数，通过访问的时间可以分析用户的群体和年龄段组成，根据访问的页面可以分析出应该在那个页面投入更多的广告，根据访问量的大小可以对广告的价格进行合理的定价

日志分析工具：splunk

工作的过程

源日志-->分析格式化

常见的日志：rsyslog和applog

-/var/log/maillog #“-”的作用是指先把日志放入内存然后再写入硬盘中

日志的轮替：

/etc/logrotate.conf

手工日志的轮替

1）将原来的日志进行改名，通常是在原来文件名的基础上添加轮替的日期

2）新建一个与原来日志同名的文件

3）kill -10 该服务的进程号，因为系统开机会加载日志存放的文件，系统记录的该文件名所对应的inode号，所以应重新读取以下该文件所对应的新的inode号

硬件：

系统：

软件：splunk-5.0.2-149561-linux-2.6-x86_64.rpm服务器安装

splunkforwarder-5.0.2-149561-linux-2.6-x86_64.rpm#异地主机安装

服务：

部署：

服务端

  43  mount 172.25.254.250:/content /mnt

  44  cd /mnt/ula/splunk/

  45  ls

  46  cd /mnt/ula/splunk/rpms/

  47  ls

  48  rpm -ivh splunk-5.0.2-149561-linux-2.6-x86_64.rpm

  49  /opt/splunk/bin/splunk start

  50  vim /etc/rsyslog.conf

  51  netstat-nalpt

  52  netstat -nualp

  53  netstat -nualp | grep udp

  54  systemctl restart rsyslog.service

  55  netstat -nualp | grep udp

  56  netstat -nualp | grep 514