重置两台主机
设定ip
nm-connection-editor ##编辑网络地址
ifconfig eth0 ##查看虚拟机ip地址
hostnamectl set-hostname node1.example.com ##改主机名字
日志采集规则
*.* 文件名称
#日志类型.日志级别 #日志存放文件
1.日志的采集
<1>日志类型
auth #用户登陆日志(pam产生日志)
authpriv #服务认证日志(sshd认证)
kern #内核日志
cron #定时任务日志
lpr #打印机日志
mail #邮件日志
news #新闻
user #用户相关程序日志
local 1-7 #用户自定义日志
<2>日志级别
debug 系统调试信息
info 常规信息
warning 警告信息
err 报错(级别低,阻止了某个工作不能正常工作)
crit 报错(级别高,阻止了整个软件或整个系统不能正常工作)
alert 需要立即修改的信息
emerg 内核崩溃
none 不采集任何日志信息
auth.debug /var/log/westos
auth.*
*.* /var/log/log.all
<3>系统常用日志
/var/log/messages #所有日志级别的常规信息(不包含邮件,服务认证,定时任务)
/var/log/maillog #邮件认证
/var/log/secure #服务认证日志
/var/log/cron #定时任务日志
eg:
auth.debug ##用户登陆日志的系统调式信息
auth.* ##用户登陆日志的所有信息
*.* ##所有日志里的所有级别
日志内容在内存里
rsyslog将日志采集位置
[root@node1 ~]# vim /etc/rsyslog.conf ##更改rsyslog的配置文件,以不同的方式采集。目的:判断一些服务的健康状况。
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none /var/log/messages
*.* /var/log/westos ##将所有日志里的所有级别放到westos文件中。
[root@node1 ~]# ls /var/log/westos
ls: cannot access /var/log/westos: No such file or directory
[root@node1 ~]# systemctl restart rsyslog.service
[root@node1 ~]# cat /var/log/westos
—————————————————————————————————————————————————————————————————————————————
vim /etc/ssh/sshd_config ##修改sshd配置文件
更改其目的:为了让服务以不同形式运行
#################二。日志远程同步################################################
TCP :当客户和服务器彼此交换数据前,需要先在双方建立一个TCP连接,之后才能传输数据。
UPD:它只是把应用程序传给ip层的数据发送出去,但并不能保证他们能到达目的地。
在日志发送方
vim /etc/rsyslog.conf
*.* @172.25.254.216 #日志接收方
systemctl restart rsyslog
在日志接收方
vim /etc/rsyslog.conf
15 $ModLoad imudp
16 $UDPServerRun 514
systemctl restart rsyslog
systemctl stop firewalld
systemctl disable firewalld ##将火墙持续关闭
将文件清空后systemctl restart rsyslog将还会出现之前采集的日志
当清空日志时还有脚本日志一直不能清理,可以输入命令"> /etc/rc.d/rc.local
3.定义日志采集格式
vim /etc/rsyslog.conf
$template 名称 ,“日志采集格式”
$template westos,"%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n"
%timegenerated% ##日志生成时间
%FORMHOST-IP% ##日志来源主机IP
%syslogtag% ##日志生成程序
%$msg% ##日志内容
%\n% ##换行
4.日志查看工具,直接查看内存中的日志 journalctl
journalctl -n 3 //查看最新三条日志
journalctl -p err //查看错误的日志
journalctl -f //监控日志 注:执行完后这个命令后,用ctrl+c结束监控
journalctl --since [时间] --until [时间] //查看某段时间内的日志
journalctl -o verbose //查看日志详细参数
journalctl _PID=*** //查看PID为***的日志
eg:
journalctl -n 3
journalctl -P err
journalctl -f
journalctl --since 01:33:40
journalctl --since 01:33:40 --until 01:33:45
5.对systemd-journal管理
默认此程序只负责对日志进行查看而不对日志进行保存和采集
那么关机后在开机,对日志进行查看,只能查看到开机后的日志,系统之前的日志因为保存在内存中的,所以关机后就被清空了,那么在开机时用journalctl看不到
如何让systemd-journal保存日志到硬盘中
mkdir /var/log/journal
chgrp systemd-journal ##在之前搜索组ps ax -o group,comm| grey systemd-journal
chmod g+s /var/log/journal
测试:
journalctl
date
reboot
journalctl
6.时间同步
在服务器端共享时间
vim /etc/chrony.conf
29 local stratum 10 #开启时间共享功能并设定共享级别
#这个参数开启后本机不去同步别人的时间到本机
systemctl restart chronyd
在客户端:
vim /etc/chrony.conf
server 172.25.254.116 iburst
systemctl restart chronyd
chronyc sources -v
7.设置时间
timedatectl
timedatectl list-timezones //查看所有时区
timedatectl set-timezone Asia/Shanghai //设置时区,使时间同步到所设置的时区
timedatectl
date
timedatectl set-local-rtc 0
vim /etc/adjtime
timedatectl set-local-rtc 1
vim /etc/adjtime
timedatectl set-time "2018-11-11 11:11:11"
7.时间延迟
at 时间
at now+5min
watch -n -1 “ls /mnt/”
at 16:00
>touch /mnt/file{1..10}
>ctrl+d
<1> at -l //看要执行的动作的编号,比如查看的编号为3,但查看时此动作必须还没有执行完
<2>at -c 3 //看3要干什么
<3>at -r 3 //撤销3的操作
vim /etc/at.deny用户黑名单。
vim /etc/at.allow 用户白名单,当白名单出现时,除超级用户外,其它用户全为黑名单。