Linux系统日志管理
1.rsyslog
此服务时用来采集系统日志的,他不产生日志,只是起到采集作用
2.rsyslog的管理
注意:以上路径是指定日志采集路径
什么类型的日志。什么级别的日志 /var/log/file(日志采集规则)
1.日志类型分为:
2.日志级别分为:
注意:从上到下,级别从低到高,记录的信息越来越少。详细的可以查看手册man 3 syslog
操作示例:
1.编辑/etc/rsyslog.conf文件:
重启系统后发现只有westos没有westos1文件
远程登陆ip后westos1文件存在
3.日志的远程同步
在日志发送方 vim /etc/rsyslog.conf
※.※ @172.25.254.200 "@“表示udp协议发送,”@@"表示tcp协议发送
编辑文件任何日志发送到指定客户端:
systemctl restart rsyslog 重启服务
在日志接收方
vim /etc/rsyslog.conf
15 $ModLoad imudp 日志接收模块
16 $UDPServerRun 514 开启接收端口
systemctl restart rsyslog
systemctl stop firewalld 关闭火墙
systemctl disable firewalld 设定火墙开机关闭
测试
在发送方和接收方都清空日志文件
/var/log/message
在日志的发送方 logger test
cat /var/log/messages 查看
查看到发送方的所有操作
4.日志的采集格式
vim /etc/rsyslog.conf
编辑文件调整日志采集格式为ip 时间 记录目标 内容
cat /var/log/westos
查看文件内容确定已经改变
5.系统时间调整工具timedatectl
查看系统当前所有时间:
修改当前时区:
6.时间同步服务
服务名称:chronyd
在服务器:vim /etc/chrony.conf
在客户端:vim /etc/chrony.conf
systemctl restart chronyd
测试
在客户端:chronyd source -v
7.journalctl命令的用法
1.
示例一
示例二
示例三
2.利用systemd-journal采集日志
注意:默认systemd-journal是不会保存系统日志到硬盘的,那么关机之后再次开机时只能看到本次开机之后的日志,关机之前的日志是无法看到的
(1)mkdir /var/log/journal
(2)chgrp systemd-journal /var/log/journal/
(3)chmod g+s /var/log/journal/
(4)killall -1 systemd-journald
(5) ls /var/log/journal