linux学习笔记(九)-----系统日志

 系统日志管理

 

1.rsyslog    ##此服务是用来采集系统日志的，他不产生日志，只是起到采集作用

    

  配置文件地址   vim /etc/rsyslog.conf

 

2.rsyslog的管理

        /var/log/message      ##服务信息日志

        /var/log/secure       ##系统登陆日志

        /var/log/cron         ##定时任务日志

        /var/log/boot.log     ##系统启动日志

扫描二维码关注公众号，回复： 2517746 查看本文章

   指定日志采集路径

   什么类型的日志。什么级别的日志

 

    日志类型分为

    auth          ##pam产生的日志

    authpriv      ##ssh,ftp等登陆信息的验证信息

    cron          ##时间任务相关   

    kern          ##内核

    lpr           ##打印

    mail          ##邮件

    mark(syslog)-rsyslog ##服务内部的信息，时间标识

    news          ##新闻组

    users         ##用户程序产生的相关信息

    uucp          ##unix to unix copy,unix主机之间相关的通讯

    local  1~7    ##自定义的日志设备

 

 

    ##详细的可以查看手册：man 3 syslog##

3.日志的远程同步

  

   在日志发送方：

   vim /etc/rsyslog.conf

    *.*   @172.25.254.200   ##“@”表示udp协议发送，“@@”表示tcp协议发送 

   

   systemctl restart rsyslog

  

   在日志接受方：

     vim /etc/rsyslog.conf

     15 $ModLoad  imdup     ##日志接收模块

     16 ￥UDPServerRun 514  ##开启接收端口

  

     systemctl restart rsyslog

     systemctl stop firewalled   ##关闭火墙

     systemctl disable  firewalld##设定火墙开机关闭

  

   测试 :

    在发送方和接收方都清空日志文件

     > /var/log/messages

    

     在日志的发送方

     logger test

    

     cat /var/log/messages      ##查看日志已经生成

     在日志接收方查看

     cat /var/log/messages

 

 

 

 

日志采集格式的设定（接收方）

   vim /etc/rsyslog.conf

 

  $template LOGFMT,"%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n"

 

  %timegenerated%      ##显示日志时间

  %FROMHOST-IP%        ##显示主机ip

  %syslogtag%          ##日志记录目标

  %msg%                ##日志内容

  \n                   ##换行

 

  *.*   /var/log/westos;LOGFMT

 

  cat /var/log/westos

     时间同步服务

    服务名称

    chronyd

    

    在服务端：

     vim /etc/chrony.conf  

    

     22 allow  172.25.254.0/24         ##允许那些客户端来同步本机时间

     29 local stratum 10               ##本纪不同不任何主机的时间，本机作为时间源

   

     systemctl restart chronyd

     timedatectl set-timezone Asia/Shanghai  ##更改当前时区为东8区

    

    在客户端：

     vim /etc/chrony.conf

     server 172.25.254.200 iburst         ##本机立即同步200主机的时间

   

     systemctl restart chronyd

     timedatectl set-timezone Asia/Shanghai    ##更改当前时区为东8区

 

      

  测试：（在客户端）

   chronyc sources -v

最后一行出现 ^*

如果出现^? 情况  是因为没有关闭火墙

 

5.timedatectl命令

  timedatectl   status                            ##显示当前时间信息

                set-time “2018-11-11 13：23：23”   ##设定当前时间     

                set-timezone Asia/Shanghai        ##设定当前时区

                set-local-rtc 0|1                 ##设定是否使用utc时间

                list-timezong                     ##查看支持的所有时区

 journal

 1.jouenalctl         ##日志查看工具

           -n 3       ##查看最近3条日志

           -p err     ##查看错误日志

           -o verbose ##查看日志的详细参数

           --since    ##查看从什么时间开始的日志

           --until    ##查看到什么时间为止的日志

 2.如何使用systemd-journald保存系统日志

   默认systemd-journald是不保存系统日志到硬盘的

   那么关机后再次开机只能看到本次开机之后的日志

    上一次关机之前的日志时无法查看的

  

   mkdir /var/log/journal

   chgrp systemd-journal /var/log/journal

   chmod g+s /var/log/journal

   killall -1 systemd-journald

 

   ls /var/log/journal

   946cb0e817eadb916183df8c4fc817     ##文件