目录
1.日志切割实验
第一步:找到一个日志文件比较大的文件
[root@localhost ~]# ll -h /var/log #打开后发现messages有五百多kb第二步:将messages文件复制出来当实验对象
[root@localhost ~]# cp -a /var/log/messages ./message
ll - h ./messages # 查看一下文件大小
第三步:进行日志切割100k一个文件
[root@localhost ~]# split -b 100k ./messagesls 查看一下发现多了好几个xaa.xab一样的小文件
ll -h 查看一下新生成的小文件大小为100kb,所有小文件大小总和刚好等于messages的大小,完成了日志分割。
日志合并:cat /xaa /xab /aac(被分割的小文件) > 合并文件名
2.日志集中管理实验
配置进程日志服务器-实现日志集中管理
第一步:修改server 服务器端配置(用来收集日志)
[root@localhost ~]# vim /etc/rsyslog.conf
19 $ModLoad imtcp #取消注释符号,可以选择TCP,或者UDP
20 $InputTCPServerRun 514 #取消注释符号第二步:重启服务
[root@localhost ~]# systemctl restart rsyslog 第三步:查看514端口是否开启
[root@localhost ~]# netstat -anlpt| grep 514第四步:在服务端关闭 selinux 和防火墙
[root@localhost ~]# setenforce 0
[root@localhost ~]# iptables -F 第五步:登录客户端 Linux02,修改主机名
[root@localhost ~]# hostnamectl set-hostname Linux02
[root@localhost ~]# cat /etc/hostname #查看一下第六步:修改客户端配置文件
[root@localhost ~]# vim /etc/rsyslog.conf
*.* @@192.168.1.63:514 注: *.* 所有类别和级别的日志 ; @@192.168.1.63:514 运端 tcp 协议的日志服务端的IP 和端口。TCP两个@,UDP一 个@ 。
第七步:在客户端关闭 selinux 和防火墙
[root@localhost ~]# setenforce 0
[root@localhost ~]# iptables -F 第八步:重启 rsyslog 服务
[root@localhost ~]# systemctl restart rsyslog.service第九步:查看日志:
[root@localhost ~]# tail -f /var/log/messages | grep Linux02第十步:在客户端 Linux02 进行测试
语法: logger 要模拟发送的日志
[root@Linux02 ~]# logger “aaaaa”
[root@localhost ~]# tail -f /var/log/messages | grep Linux02
#服务器端查看到消息
May 21 16:32:16 Linux02 root: aaaaa