1.日志的远程同步
(1)日志的发送方:输入命令,更改文件配置,将指定的日志发送给接收方,其中有两种协议发送,一种为upd,另一种为tep协议,两种协议发送方式不同,更改时要注意
vim /etc/rsyslog.conf
*.* @172.25.254.220
. 表示所有日志
@表示udp协议的发送,@@表示tep协议的发送
练习:
(2)日志的接收方
同样需要更改配置文件后,才能接收到来自于发送方加载的日志文件
vim /etc/rsyslog.conf
打开日志的15/16行的协议接收端口
重新启动系统,重新读取配置文件
systemctl restart rsyslog
关闭防火墙
systemctl stop firewalld
在日志的传送接收过程中,由于地区的时差不同,会导致传过来的文件也有时差,所以对于一台同时管理多台多地区的电脑,需要按照一个统一的时间来管理,就比较方便了
2.日志的时间同步服务
服务名称:chronyd
(1)服务端(接收日志方)
更改配置文件,将接收过来的日志统一化成自己的时间
vim /etc/chrony.conf
22行 allow 172.25.120/24 允许这个ip的主机同步本机的时间
29行 local startum 10 本机不同步任何主机的时间,本机作为时间源、
systemctl restart chronyd 重新加载一次配置文件
更改本机自己的时间:timedatectl set-Asia /shangha 将时间更改为伤害时间
(2)客户端(发送日志方)
更改配置文件:
vim /etc/chrony.conf
serxr 172.25.254.220 inbuest 本机同步ip为172.25.254.220的主机的时间
systemctl restart chronyd
timedatectl set-timezone Asia/shanghai 更改当前时区为垌8区
(3)测试
在客户端(日志发送方)输入以下命令:
chronyc sources -v
练习:
timedatectl 命令
timedatectl 是管理系统时间的命令
timedatectl status 显示系统当前时间信息
set-time 设定当前时间
set-timezone 设定当前时区
set-local-rtc 0|1 设定是否使用utc时间(0为使用。1为不使用)
3.系统中日志的具体查看
(1)日志的查看
journal是系统中日志查看命令
journalctl 命令
journalctl -n 10 查看最近10条命令
journalctl -p err 查看错误的日志
journalctl -o verbose 查看日志的详细参数
journalctl --since 查看从什么时间开始的日志
joiurnalctl --until 查看从时间时间结束的日志
练习:
(2)默认情况下,系统日志在经过关机重启后,重启之前日志是不被保留的,我们可以使用systemd-journald 将所有日志可保存下来,方便管理
mkdir /var/log/rizhi
chgrp systemd-journal /var/log/rizhi
chmod g+s /var/log/rizhi
killall -l systemd-journald
ls /var/log/rizhi
