log
1.日志类型
auth #用户登陆日志(pam产生日志)authpriv #服务认证日志(sshd认证)
kern #内核日志
cron #定时任务日志
lpr #打印机日志
mail #邮件日志
news #新闻
user #用户相关程序日志
local 1-7 #用户自定义日志
[root@node1 ~]# vim /etc/rsyslog.conf #更改rsyslog配置文件
*.info;mail.none;authpriv.none;cron.none /var/log/messages
*.* /var/log/westos
[root@node1 ~]# > /var/log/westos #清空日志文件内容
[root@node2 ~]# ssh [email protected]
[email protected]'s password:
Last login: Fri Apr 13 21:58:15 2018 from 172.25.254.232
[root@node1 ~]# exit
logout #对主机进行操作
[root@node1 ~]# cat /var/log/westos #查看日志内容
[root@node1 ~]# systemctl stop rsyslog.service #关闭该服务
[root@node1 ~]# systemctl restart rsyslog.service #重启该服务
2.日志级别
debug 系统调试信息info 常规信息
warning 警告信息
err 报错(级别低,阻止了某个工作不能正常工作)
crit 报错(级别高,阻止了整个软件或整个系统不能正常工作)
alert 需要立即修改的信息
emerg 内核崩溃
none 不采集任何日志信息
auth.debug /var/log/westos #westos记录系统调试日志
auth.*
*.* /var/log/log.all #log.all记录所有系统日志
系统常用日志
/var/log/messages #所有日志级别的常规信息(不包含邮件,服务认证,定时任务)
/var/log/maillog #邮件认证
/var/log/secure #服务认证日志
/var/log/cron #定时任务日志
3.日志远程同步
在日志发送方vim /etc/rsyslog.conf
*.* @172.25.254.132 #设置日志同步位置
systemctl restart rsyslog.service
*.*@日志接收方的ip #通过udp协议把日志发送给接收方;@udp;@@tcp
在日志接收方
vim /etc/rsyslog.conf #设置接受方端口
同意以 UDP形式同步远程日志
16 $UDPServerRun 514 #日志接受插件使用端口
[root@node1 ~]# systemctl restart rsyslog.service
[root@node1 ~]# systemctl stop firewalld #关闭接收方防火墙[root@node1 ~]# > /var/log/westos #清空日志文件内容
[root@node1 ~]# cat /var/log/westos #查看
[root@node1 ~]# cat /var/log/westos #在发送方在其主机有某些操作后查看接收方日志文件内容
> /etc/rc.d/rc.local #删除本地日志
4.定义日志采集格式
vim /etc/rsyslog.conf
$ template westos,"%timegenerated% %FROMHOST-IP% %systag% %msg%\n"
#定义westos格式
显示格式
*.info;mail.none;authpriv.none;cron.none /var/log/messages;westos
#调用westos格式
$template 格式名称,"日志采集格式"
$ template westos,"%timegenerated% %FROMHOST-IP% %systag% %msg%\n"
%timegenerated% #日志生成时间
%FORMHOST-IP% #日志来源主机的ip
%syslogtag% #日志生成程序
%msg% #日志内容
\n #换行
5.journalctl #日志查看
journalctl -n 3journalctl -p err
journalctl -f 用户ctrl+c结束监控
journalctl -since --until
journalctl -o verbose 查看日志详细参数
60 journalctl -n 3 #最新的三条日志
62 journalctl -p err #报错日志
63 journalctl -f #日志监控
扫描二维码关注公众号,回复:
942701 查看本文章
64 journalctl --since 17:00 --until 17:01 #从17:00到17:01产生的日志
65 journalctl -o verbose#查看日志详细参数
66 journalctl _PID=83 #直接查看PID为83的程序产生的日志
注意:对systemd-journald管理
默认此程序只负责对日志进行查看而不能对日志进行保存和采集那么关机后再开机,对日志进行查看,只能查看到开机后的日志,系统之前的日志是因为是保存在内存中的,所以关机后就被清空了,那么在开机是用journalctl看不到的
6.如何让systemd-journald保存日志到硬盘中
70 mkdir /var/log/journal71 groupadd systemd-journald
72 chgrp systemd-journald /var/log/journal
73 chmod g+s /var/log/journal
74 killall -1 systemd-journald
75 journalctl -n 3
76 date
77 reboot
78 ssh [email protected]
79 journalctl
6.时间同步
在服务端共享时间vim /etc/chrony.conf
29 local stratum #共享时间共享功能并设定共享级别
#这个参数开启后本机不去同步别人的时间到本机
22 allow 172.25.254.0/24
#允许哪些客户端来访问本机共享的时间
在客户端:
vim /etc/chrony.conf
server 172.25.254.132 iburst
#同步服务端的时间
systemctl restart chronyd #重启该配置
chronyd sources -v #查看时间是否与172.25.254.132同步
[root@node2 ~]# chronyc sources -v
210 Number of sources = 1
.-- Source mode '^' = server, '=' = peer, '#' = local clock.
/ .- Source state '*' = current synced, '+' = combined , '-' = not combined,
| / '?' = unreachable, 'x' = time may be in error, '~' = time too variable.
|| .- xxxx [ yyyy ] +/- zzzz
|| / xxxx = adjusted offset,
|| Log2(Polling interval) -. | yyyy = measured offset,
|| \ | zzzz = estimated error.
|| | |
MS Name/IP address Stratum Poll Reach LastRx Last sample
===============================================================================
^* 172.25.254.132 10 6 7 1 +271ns[ +0ns] +/- 184us
7.时间设置:
83 hostnamectl set-hostname node1.example.com84 timedatectl list-timezones #查看时区
85 timedatectl set-timezone Asia/Shanghai #设置时区
86 timedatectl #查看时间信息
87 timedatectl set-local-rtc 0 #使用utc时间
88 vim /etc/adjtime
89 timedatectl set-local-rtc 1 #使用本地时间
90 vim /etc/adjtime
91 timedatectl set-time "2018-11-11 11:11:11" #修改时间
92 date