第九章liunx～系统日志管理

1，系统日志管理
1.rsyslog 此服务时用来采集系统日志，他不产生日志，只是祈起到采集的作用。

2.rsyslog的管理
/var/log/messages 服务信息日志

查看各项日志及删除日志信息
/var/log/secure 系统登陆日志
/var/log/cron 定时任务日志
/var/log/maillog 邮件日志
/var/log/boot.log 系统启动日志

2,日志采集格式

什么类型的日志，什么级别的日志 /var/log/file 日志采集规则

1.日志类型分为：
auth pam产生的日志
authpriv ssh，ftp等登陆信息的验证信息
cron 时间任务相关
kern 内核
lpr 打印
mail 邮件
mark（syslog）-rsyslog 服务内部的信息，时间标识
news 新闻组
user 用户程序产生的相关信息
uucp unix to unix copy，unix主机之间相关的通讯
local 1～7 自定义的日志设备

2.日志级别分为：
debug 有调式信息的，日志信息最多
info 一般信息的日志，最常用
notice 最具有重要性的普通条件的信息
warning 警告级别
err 错误级别，组织某个功能或者模块不能正常工作的信息
crit 严重级别，阻止整个系统或者整个软件不能正常工作的信息
alert 需要立刻修改的信息
emerg 内核崩溃等严重信息
none 什么都不记录

注意：从上到下，级别从低到高，记录的信息越来越少
详细的可以查看手册：man 3 syslog

任意类型，任意级别的日志 ssh,ftp的日志都不记录

退出保存重启rsyslog服务
3.日志采集格式
$template WESTOS, “%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n”

%timegenerated% -显示日志时间
%FROMHOST-IP% 显示主机ip
%syslogtag% 日志记录目标
%msg% 日志内容
\n 换行

4.日志的远程同步
在日志发送方：
vim /etc/rsyslog.conf
. @172.25.254.200 “@”表示udp协议发送，“@@”表示tep协议发送

systemctl restart rsyslog 重启程序

在日志接受方：
vim /etc/rsyslog.conf
15行 $ModLoad imudp ##日志接收模块
16行 $UDPServerRun 514 ##开启接受端口

systemctl restart rsyslog ##重启系统
systemctl stop firewalld ##关闭火墙

5，时间同步
1.在服务端：
vim /etc/chrony.conf
22 allow 172.25.0.0/24 ##允许谁去同步我的时间

28 local stratum 10 ##不去同步任何人的时间，时间同步服务器级别

systemctl restart chronyd

timedatectl set-timezone Asia/Shanghai --更改当前时区为东八区

2.客户端
vim /etc/chrony.conf
server 172.25.254.147 iburst 本机立即同步147主机的时间

systemctl restart chronyd

timedatectl set-timezone Asia/Shanghai --更改当前时区为东八区
6,测试：
chronyc sources -v

7，timedatectl命令
1.timedatectl status 显示当前时间信息

2…timedatectl set-time 设定当前的时间

3…timedatectl set-timezone 设定当前时区

4…timedatectl set-local-rtc 0|1 设定是否使用utc时间
5…timedatectl list-timezones 查看支持的所有时间

8，journalctl 日志查看工具
journalctl -n 3 显示最新3条日志

-p err 查看错误日志

–since 从什么时间开始的日志
–until 从什么时候为止的日志
-o verbose 查看日志的详细进程参数

2.如何使用systemd-journald保存日志

默认systemd-journald是不保存系统日志到硬盘的
关机后只能看到本次开机的日志
上一次关机之前的日志是无法看到的

mkdir /var/log/journal 新建目录
chgrp systemd-journal /var/log/journal 将该目录的用户组更改为systemd-joural
chmod g+s /var/log/journal 将该目录设置为在本目录中文件用户组更改本目录的用户组
killall -1 systemd-journald 清除以该用户组名的一类进程
ls /var/log/journal 重启主机之后 查看日志