journald
服务名称:systemd-journald.service
服务提供一种改进的日志管理服务,可以收集来自内核、启动过程、标准输出、系统日志以及守护进程启动和·运行期间错误的消息,它将这些消息写入到一个架构化事件日志。
默认存放路径:/run/log;系统重启之后会清空日志
查看系统日志
查看系统日志的命令是journalctl
journalctl命令的用法参数:
journalctl 日志分析命令
journalctl -n 5 查看最近生成的5条日志
journalctl -since 查看从某个时间生成的日志
journalctl --util 查看日志到某个时间
journalctl -o verbose 查看日志能够使用的条件参数
journalctl -o short 经典模式显示日志
journalctl -o export 适合传出和备份的二进制格式
journalctl -o json js格式显示输出
journalctl -p 显示指定级别日志
journalctl -p emerg 系统的严重问题日志
journalctl -p alert 系统中立即要更改的日志
journalctl -p crit 严重级别会导致系统软件不能正常工作
journalctl -p err 程序报错
journalctl -p warning 程序警告
journalctl -p notice 重要信息的普通日志
journalctl -p info 普通日志信息
journalctl -p debug 程序排错信息
journalctl -F PRIORITY 查看可控日志级别
journalctl -u 服务名称 查看指定服务
journalctl --disk–usage 查看日志大小
journalctl --vacuum-size =1G 设定日志存放大小
journalctl -f 监控日志
journalctl 的指定参数信息查看日志
UID=进程uid
PID=进程id
GID= 进程gid
HOSTNAME= 进程所在主机
YSSTEMD_UNIT= 服务名称
COMM=命令名称
示例:
查看sshd服务的日志
示列:查看指定时间的 开始系统生成的日志
示列:查看指定进程号的日志
示列:查看程序出错的日志
用journalctl服务永久存放日志
1.建立日志存放目录
2.修改journal目录的属主属组是systemd-journal;修改权限是2774
3.重启system-journal服务
rsyslog
rsyslog是一个开源工具,被广泛用于linux系统通过tcp/udp协议转发或者接受日志消息
服务名称: rsyslog.service
配置文件:/etc/rsyslog.conf
日志的存放:永久存放日志
/var/log/messages 系统服务日志,常规信息,大多数日志信息
/var/log/secure 安装和身份认证相关日志文件
/var/log/maillog 与邮件服务器相关的日志文件
/var/log/cron 与定时任务相关的日志文件
/var/log/boot.log 系统启动日志文件
以读取文件内容的方式直接查看系统日志cat /var/log/messages
自定义日志采集路径和采集格式
日志类型
auth 用户认证
authpriv 服务认证
cron 时间任务
kem内核类型
mail 邮件
news 系统更新信息
user 用户
日志级别
emerg 系统的严重问题日志
alert 系统中立即要修改的日志
crit 严重级别会导致系统软件不能正常工作
err 程序报错
arning 程序警告
notice 重要信息的普通日志
info 普通信息
debug 程序排错信息
none 什么都不记录
自定义日志采集路径
方法:在配置文件的45行以后添加采集路径信息
第一个星号所在的字段表示日志类型,第二个星号所在字段表示日志级别,用.隔开,后面为采集路径
实例:将系统的所有日志存放在/var/log/linux文件中
实例2:把系统的所有日志文件存放在linux文件中,除了mail外
自定义日志采集格式
%FROMHOST-IP% 日志来源主机
%timegenerated% 日志生成时间
%syslogtag% 日志生成服务
%msg% 日志内容
\n 换行
1.在配置文件中编写一个名为WESTOS的模板,采集格式为“日志来源主机IP”,生成时间,服务,内容
2.对指定文件用编写的模板采集日志,比如:让linux文件以westos格式采集日志
3.重启rsyslog服务,查看linux日志文件,格式生效
4.若想要所有文件都采用westos格式,可将默认模板名改为westos
日志的远程同步
实验目的:
主机A的日志发送到主机B
1.在主机A中修改配制文件,设定发送日志到主机B,重启服务
@:udp传输
@@:tcp传输
2.在主机B修改配置文件,设定接受所有人的日志
3.查看到主机B的514端口已经打开,关闭防火墙;此时,日志同步设定已经同步完成
4.为了观察实现效果,两台主机分别清空日志文件,在主机A上执行logger linux测试命令,在主机B上可以查看到同步的日志
时间管理
timedatectl命令来管理系统的时间
timedatectl set-time +【具体的时间】 设定系统时间
timedatectl list-timezones 显示所有时区
timedatectl set-timezone+【时区】 设定系统时间
timedatectl set-local-rtc 0/1 设定系统时间计算方式;0表示硬件采用UTC计算时间方式,1表示让硬件采用本地时间
实例1:
设定时间
示列2:设定系统时区
时间同步服务
服务名称:chronyd.service
配置文件: /etc/chrony.conf
实验目的:
主机A作为时间源
主机B同步主机A的时间
实验过程:
1.在主机A中修改配置文件,允许192.168.1.0网段的主机同步主机,并开启时间服务。设定级别是10
2.在主机A中重启chrony服务,关闭防火墙
3.在主机B中修改配置文件,同步主机A的时间,重启chronyd服务
4.在主机B查看时间,已经变为主机A的时间
5.主机B使用chronyc source -v 命令查看同步效果
