在查看系统日志的时候,每个人的习惯不同,想要看到的内容不同,因此希望可以只看到自己想要的部分,比如只想看到时间+内容,比如只想看到来源IP+时间。所以我们对日志采集格式也可以有一个设定。
指令如下:
vim /etc/rsyslog.conf ###编辑日志配置文件
systemctl restart rsyslog ###重起日志服务
cat /var/log/日志目录名 ###查看更改后的日志
基本的指令就只有以上三条。我们主要需要知道的是应该在日志配置文件中写入什么,或者更改什么。
认识几条常用的日志显示格式
%timegenerated ###显示日志时间
%FROMHOST-IP% ###显示主机ip
%syslogtag% ###日志记录目标
%msg% ###日志内容
\n ###换行
在vim /etc/rsyslog.conf后写入内容:
$template name, "%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n " ###日志显示的格式
*.* /var/log/file:name ###日志以name格式存入/var/log/file目录中
更改:$ActionFileDefaulTemplate name 修改系统默认日志为name格式
以上内容就是我们在修改日志采集格式的设定中会用到的全部命令,下面进行演示。
1.编辑配置文件,更改系统默认日志存储格式,写入日志格式RZ,将日志以RZ的格式,存入目录rizhi中。
2.重起日志服务,查看rizhi目录,更改完成。【如果不需要查看全部的日志,可以使用tail指令只查看指定数目条】
内核中的日志是不会保存的,在每一次断电后都会清空。那么我们想要让日志保存下来,就需要另外指定硬盘将其日志进行存储。
先来认识几条指令:
journalctl ###查看本次开机后系统中的日志
journalctl -n 3 ###查看最近3条日志
journalctl -p err ###查看错误的日志
journalctl --since ###查看从什么时间开始的日志
journalctl --until ###查看到什么时间截止的日志
举例:journalctl --since "2019-05-05 10:10:10" --until "2019-06-06 12:12:12"
演示:
保留journal日志:
mkdir /var/log/journal ###创建存储日志的目录
chgrp systemd-journal /var/log/journal/ ###更改日志目录的所属组位systemd-journal
chmod g+s /var/log/journal/ ###使该目录下的文件所属组都为目录所属组
killall -1 systemd-journald ###不关机重新加载配置
reboot ###断电重起
journalctl ###查看日志,发现可以看到kill重新加载之前时间的日志
演示:
reboot之后:
更改成功,journal日志保存到了硬盘中。
大大的小小阳