Linux基本操作（八）——系统日志管理

一.rsyslog（rocket-fast system for log）

它提供了高性能，高安全功能和模块化设计，能够接受从各种各样的来源，将其输入，输出的结果到不同的目的地，并可以提供超过每秒一百万条消息给目标文件。

    rsyslog特性：1.多线程
　　　                  2.支持加密协议：ssl，tls，relp
　　　                  3.mysql、oracle、postgreSQL
　　           　       4.过滤日志内容的部分信息

                               5.配置日志输出格式

1.rsyslog作用：

此服务是用来采集系统日志的，他不生产日至，只是起到采集作用

2.rsyslog的管理

/var/log/messages	##服务信息日志
/var/log/secure		##系统登陆日志
/var/log/cron		##定时任务日志
/var/log/maillog	##邮件日志
/var/log/boot.log	##系统启动日志

                                                                                               (服务信息日志)

                                                                                          （系统登陆日志）

                                                                                             （定时登陆日志）

                                                                                                （系统登陆日志）

二.日志管理服务

1.rsyslog负责次阿基日志和分类存放日志

2.rsyslog日志分类

vim /etc/rsyslog.comf	#主配置文件

服务 . 日志级别        /存放文件
 

*.*			/var/log/westos
*.*；authpriv		/var/log/westos

完成配置后须重启设定

systemctl restart rsyslog

rsyslog日志格式：日志设备（类型）.（连符号）日志级别    日志处理方式（action）

                                                                                （将系统日志存放/var/log/villa文件下）

3.日志的远程同步

在日志发送方：

vim /etc/rsyslog.conf
*.*	@接收端ip	     ##"@"表示udp协议发送 “@@” 表示tcp协议发送
systemctl restart rsyslog    ##重启rsyslog服务

                                                                            （修改日志配置，并重启日志服务）

在日志接收方：

vim /etc/rsyslog.conf
15 $ModLoad imudp	##日志接受模块
16 ￥UDPServerRun	##开启接收端

systemctl restart rsyslog.server ##重启服务
systemctl stop firewalld	##关闭火墙
systemctl disable firewalld	##设定火墙开启关闭

                                                                    （打开/etc/rsyslog.conf文件，修改以上两个参数）

测试：

##在发送方和接收方都清空日志文件
> /var/log/messages

##在日志的发送方
logger test
cat /var/log/messages	##查看日志已经生成

##在日志接收方查看
cat /var/log/messages

                                                                       （更改日志配置文件，对防火墙进行设置）

                                                                                   （接受方发送方文档皆有显示）

三.日志采集格式的设定

在

$template,LOGFMT, "%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n"

%timegenerated%        ##显示日志时间
%FROMHOST-IP%          ##显示主机Ip
%syslogtag%            ##日志记录内容
%msg%                  ##日志内容
\n                     ##换行

                                                                                   （修改文档格式）

四.时间同步服务

服务名称                      chronyd

在服务端:

vim /etc/chrony.conf
22 allow 172.25.254.0/24	##允许那些客户端来同步本机时间
29 local stratum 10 		##本机不同步任何主机的时间，本机作为时间源

                                                                                  （设置时间服务配置）

在客户端：

vim /etc/chrony.conf
server 172.25.254.200 iburst	##本机立即同步200主机的时间

注意：防火墙关闭！！！！！！！！

systemctl restart
timedatectl set-timezone Asia/Shanghai	##更改当前时区为东8区

测试：

在客户端：

chronyc	sources -v

                                                       （服务端、客户端时间同步，由于数据传输需要时间，时间略有延迟）

五.timedatectl 命令

timedatectl	##管理系统时间
timedatectl	status		##显示当前时间信息
		set-time	##设定当前时间
		set-timezone	##设定当前时区
		set-local-rtc 0|1	##设定是否支持UTC时间
		list-timezone	##查看支持的所有时区

 六.journal

（rsyslog是对日志进行采集，journal是直接查看日志）

1.

journalctl		##日志查看工具
	-n 3		##查看最近3条日志
	-p err		##查看错误日志
	-o verbose	##查看日志的详细参数
	--since		##查看从什么时间开始的日志
	--until		##查看到什么时间为止的日志

2.如何使用systemd-journald保存系统日志

默认systemd-journald是不保存系统日志到硬盘的
那么关机后再次开机只能看到本次开机之后的日志
上次关机之前的日志是无法查看的

 

mkdir /var/log/journal
chgrp systemd-journal /var/log/journal
chmod g+s /var/log/journal
killall -1 systemd-journald

ls /var/log/journal
946cb0e817ea4adb916183df8c4fc817