1.日志信息
vim /etc/rsyslog.conf 日志的配置文件
日志类型.日志级别 日志存放文件
其中*代表所有日志类型和日志级别
##日志类型
auth 用户登陆日志(pam产生日志)
authpriv 服务认证日志(sshd认证)
kern 内核日志
cron 定时任务日志
lpr 打印机日志
mail 邮件日志
news 新闻
user 用户相关程序日志
local 1-7 用户自定义日志
##日志级别
debug #系统调试信息
info #常规信息
warning #警告信息
err #报错(级别低,阻止了某个功能不能正常工作)
crit #报错(级别高,阻止了整个软件或系统不能正常工作)
alert #需要立即修改的信息
emerg #内核崩溃
none #不采集任何日志信息
例:可以在vim /etc/rsyslog.conf 中写入以下日志采集格式
auth.debug /var/log/westos
auth.*
*.* /var/log/log.all ##把所有日志类型和所有日志级别的内容,存放在/var/log/log.all
系统常用日志
/var/log/messages #所有日志级别的常规信息(不包含邮件,服务认证,定时任务)
/var/log/maillog #邮件日志
/var/log/secure #服务认证日志
/var/log/cron #定时任务日志
##一般查看日志采集信息前需清空之前的信息,用> /var/log/messages 可清空
2.日志远程同步(便于查看多个主机的日志信息) ##先执行这个命令 > /etc/rc.d/rc.local
##在日志发送方
vim /etc/rsyslog.conf
*.* @172.25.254.170 #日志接收文件
systemctl restart rsyslog
##在日志接收方
vim /etc/rsyslog.conf
15 #$ModLoad imudp ##udp的插件
16 #$UDPServerRun 514 ##udp的接口文件
systemctl restart rsyslog
systemctl stop firewalld ##关闭防火墙
systemctl disable firewalld ##关闭开机自启动防火墙
3.定义日志采集格式
vim /etc/rsyslog.conf
$template 格式名称,“日志采集格式”
*.info;mail.none;authpriv.none;corn.none /var/log/messages;格式名称
$template westos,"%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n"
%timegenerated% #日志生成时间
%FROMHOST-IP% #日志来源主机的ip
%syslogtag% #日志生成程序
%msg% #日志内容
\n #换行
例:Apr 13 23:55:15 172.25.254.217 systemd: Stopping System Logging Service...
4.日志查看工具
journalctl ##日志查看工具,直接查看内存中的日志
journalctl -n 3 ##查看最新三条日志
journalctl -p err ##查看错误日志
journalctl -f ##监控日志 用户ctrl+c结束监控
journalctl --since+时间 --until+时间
journalctl -o verbose ##查看日志详细参数 PID=32735 journalctl _PID=32735
journalctl --since+时间 --until+时间 ##查看从某个时间段的日志信息
journalctl -f ##监控日志 用户ctrl+c结束监控
journalctl -p err ##查看错误日志
journalctl -n 3 ##查看最新三条日志
##对systemd-journald管理
##默认此程序只负责对日志进行查看而不对日志进行保存和采集
那么关机后再开机,对日志进行查看,只能查看到开机后的日志,系统之前的日志因为是保存在内存中的,所以关机后就被清空了,那么开机时用journalctl看不到的##
###操作步骤
mkdir /var/log/journal
168 chgrp systemd-journal /var/log/journal/
169 chmod 2755 /var/log/journal/
170 killall -1 systemd-journald
171 journalctl -n 3
172 date
173 reboot
174 journalctl
