日志管理(定向采集、远程同步、格式设置、时间同步)

1.rsyslog
此服务用来采集系统日志，他不产生日志，只起到采集的作用

2.rsyslog的管理

/var/log/messages	//服务信息日志
/var/log/secure		//系统登陆日志	
/var/log/cron		//定时任务日志
/var/log/maillog	//邮件日志
/var/log/boot.log 	//系统启动日志

指定日志采集路径：

什么类型的日志.什么级别的日志	/var/log/file	#日志采集规则
*.*  所有类型的所有级别

日志类型：

auth			//pam产生的日志
authpriv		//ssh，ftp等登陆信息的验证信息
cron			//时间人物相关
kern			//内核
lpr				//打印
mail			//邮件
mark(syslog)-rsyslog	//服务内部的信息，时间标示
news			//新闻组
user			//用户程序产生的相关信息
uucp			//unix to unix copy，unix主机之间相关的通讯
local 1~7		//自定义的日志设备

日志的级别：

debug		//有调试信息的，日志信息最多
info		//一般信息的日志，最常用
notice		//最具有重要性的普通条件的信息
warning		//警告级别
err			//错误级别，阻止某个功能和模块不能正常工作的信息
crit		//严重级别，阻止整个系统或整个软件不能正常工作的信息
alert		//需要立即修改的信息
emerg		//内核崩溃等严重的信息
none		//什么都不记录

• 注意：
  从上到下，级别从低到高，记录的信息越来越少
  详细的可以查看手册：man 3 syslog

定向采集：

目的：
   	把系统中所有的日志采集到/var/log/westos文件中
操作：
   	vim /etc/rsyslog.conf
   	*.*	/var/log/westos			//编辑文件，指定采集信息存放位置
   	systemctl restart rsyslog	//重启服务
测试：
   	systemctl restart sshd		//生成日志
   	cat /var/log/westos			//此文件中出现了日志信息

3.日志的远程同步

(1)在日志的发送方：

	vim /etc/rsyslog.conf
	*.*	@172.25.60.2		//"@"表示udp协议发送，“@@”表示tcp协议发送		

	systemctl restart rsyslog

(2)在日志的接收方：

	vim /etc/rsyslog.conf

	15  $ModLoad imudp			//日志接收模块
	16  $UDPServerRun 514		//开启接收端口
	
	systemctl restart rsyslog
	
	systemctl stop firewalld	//关闭防火墙
	systemctl disable firewalld	//设定防火墙开机关闭

(3)测试：

在发送方和接收方都清空日志文件:
		> /var/log/messages		
		> /etc/rc.d/rc.local	
在日志的发送方:
		logger test		
		cat /var/log/messages	//查看日志已经生成
在日志的接收方:
		cat /var/log/messages

• 发送方
  
  
• 接受方
  
• 查看
  

4.日志采集格式设置

$template YLZ， “%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n”
注：
	%tomegenerated%	//显示日志时间
	%FROMHOST-IP%	//显示主机IP
	%syslogtag%		//日志记录目标
	%msg%			//日志内容
	\n				//换行

格式设置文件：vim /etc/rsyslog.conf

(1)在指定的日志中采用特定的格式

*.*	/var/log/all_messages;YLZ	//在指定的日志中采用YLZ格式

cat /var/log/all_messages

• 查看文件中日志的格式，与设置的相同

(2)修改系统默认日志采集格式

$ActionFileDefaultTemplate YLZ		//修改系统默认日志采集格式为YLZ

cat /var/log/messages		

5.时间同步服务
服务：chronyd

• 在服务端：

	vim /etc/chrony.conf
	22 allow 172.25.60.0/24		//允许那些客户端来同步本机时间
	29 local stratum 10		//本机不同步任何主机的时间，本机作为时间源

systemcal restart chronyd	//重启服务
systemctl stop firewalld	//关闭防火墙

• 在客户端：

vim /etc/chronyd.conf
server 172.25.60.2 iburst	//本机同步172.25.60.2主机的时间

systemcal restart chronyd	//重启服务
systemctl stop firewalld	//关闭防火墙

• 测试：
  
  说明同步主机ip为172.25.60.2的时间