一:
系统日志
打开配置文件 ## vim /etc/rsyslog.conf
auth.debug ##用户登陆日志的调试信息
*.* ##所有日志类型的所有级别的信息
*.* 文件名称
日志类型.日志级别 日志存放文件
常用日志类型
auth 用户登陆日志(pam产生的日志)
authpriv 服务认证日志(sshd认证)
kern 内核日志
corn 定时任务日志
lpr 打印机日志
mail 邮件日志
news 新闻
user 用户相关程序日志
local 1-7 用户自定义日志
日志级别debug 系统调试信息
info 常规信息
warning 警告信息
err 报错(级别低,阻止了某个软件不能正常工作)
crit 报错(级别高,阻止了整个软件或整个系统不能正常工作)
alert 需要立即修改信息
emerg 内核崩溃
none 不采集任何日志信息
auth.debug /var/log/westos ###将用户登录日志的调试信息保存在/var/log/westos文件中
auth.*
系统常用日志
/var/log/messages 所有日志级别的常规信息(不包含邮件,服务认证,定时任务)
/var/log/maillog 邮件日志
/var/log/secure 服务认证日志
/var/log/cron 定时任务日志
2.远程日志同步
日志发送方: node1
日志接收方: node2
在日志发送方
vim /etc/rsyslog.conf
*.* @172.25.254.103 #日志接受方地址
sysemctrl restart rsyslog.srvice
vim /etc/rsyslog.conf
15 $ModLoad imudp 日志接受程序
16 $UDPServerRun 514 接收程序接口
systemctrl restart rsyslog.srvice
systemctrl stop firewalld 关闭防火墙
systemctrl disabl firewalld 关闭防火墙开机自启动
测试:
清空日志接受放的日志记录 > /var/log/message
###在日志发送方##
####在日志接受方###
3.定义日志采集格式
vim /etc/rsyslog.conf
$template 格式名称,"日志采集格式"
*.info;mail.none;authpriv.none;cron.none /var/log/messages;westos
$template westos,"%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n"
%FROMHOST-IP% 日志来源主机的ip
%syslogtag% 日志生成程序
%msg% 日志内容
测试:
4.
journalctl ##日志查看工具,直接查看内存中的日志
journalctl -n 3 查看最新三条日志
journalctl -p err 查看报错日志
journalctl -f 日志监控 用ctrl+c 结束监控
journalctl --since --until 查看一个时间区间的日志
journalctl -o verbose 产看日志详细参数 _PID=***
journalctl _PID=***
5.对systemd-journald管理
默认此程序只负责对日志进行查看而不对日志进行保存和采集
那么在关机后在开机,对日志进行查看,只能查看到开机后的日志,系统之前的日志是因为保存在内存中的,所以关机后就被清空了,那么在开机是用journalctl看不到的
如何让systemd-journald保存日志到硬盘中
(1)mkdir /var/log/journal
(2)chgrp systemd-journal /var/log/journal
(3)chmod 2755 /var/log/journal
(4)killall -1 systemd-journald
journalctl 重启之前查看日志时间
date 查看当前时间
reboot 重启
journalctl 重启后查看日志,看重启之前的日志是否存在,存在即为正确
二:
定时任务与延时任务
atat now+1min
at> touch /mnt/file{1..5}
ctrl+d
at -l
查看定时任务job号
at -c job号
查看定时任务详情
at -r job号
删除定时任务
at黑白名单
/etc/at.deny ##黑名单
/etc/at.allow ##白名单本身不存在,创建后黑名单失效,除了超级用户外的其他用户都不能使用at作业,除非将用户加入白名单
vim /etc/at.den 将指定用户加入黑名单
vim /etc/at.allow 将指定用户加入白名单