系统日志

最新推荐文章于 2024-06-16 10:00:31 发布
最新推荐文章于 2024-06-16 10:00:31 发布
阅读量898 收藏
点赞数
分类专栏: linux基础
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/GodDevin/article/details/79211805
版权

一.系统日至默认分类

/var/log/cron ##系统例行性工作调度信息
/var/log/dmesg ##系统开机的时候内核检测过程所产生的各项信息
/var/log/lastlog ##系统上面所有的帐号最近一次登录系统时的相关信息
/var/log/messages ##系统服务及日志,包括服务的信息,报错等(重要)
/var/log/secure ##系统认证信息日志
/var/log/maillog ##系统邮件服务信息
/var/log/boot.log ##系统启动信息

二.日志文件所需相关服务与进程

systemctl status rsyslog.service 具体信息

1.syslogd:主要登陆系统与网络等服务的信息

syslog的配置文件 /etc/rsyslog.conf
vim /etc/rsyslog.conf ##主配置文件

服务.日志级别 /存放文件

服务类型##

auth与认证有关的机制,例如login,ssh,su等
authpriv是ssh,ftp等登陆信息的验证信息
daemon与各个服务有关的信息
kern内核产生信息的地方
lpr打印相关的信息
mail与邮件收发有关的信息
news与新闻组服务器有关的东西
rsyslog就是rsyslogd这个程序本身生成的信息
authpriv是ssh,ftp等登陆信息的验证信息
cron例行性工作调度等生成信息日志的地方
mark(syslog)-rsyslog服务内部的信息,时间标识
user用户程序产生的相关信息
uucp是unix to unix copy,unix主机之间相关的通讯
local 1~7自定义的日志设备

日志级别

debug有调试信息的,日志信息最多
info一些基本的信息说明
notice除了info外还需要注意的一些信息内容
warn(warning)警示的信息,可能有问题,但还不至于影响到某个服务运行的信息
err(error)一些重大的错误信息
crit(critical)比error还严重的错误信息,临界点的意思,这个错误已经非常严重了
alert警告,已经很有问题的等级
emerg(panic)“疼痛”等级,意指系统已经几乎要死机的状态
none什么都不记录

注意:从上到下,级别从低到高,记录的信息越来越少

详细的可以查看手册: man 3 syslog

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
[.=!]
“.” 代表比后面高的等级都比记录下来(含该等级)
“.=” 代表所需要的等级就是后面接的等级,其他的不要
“.!” 代表不等于,即是除了该等级外的其他等级都记录
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@

例题

message文件需记录所有的信息,但是不想记录cron,mail及news的信息
两种方法
(1).;news,cron,mail.none
(2).;news.none;cron.none;mail.none

rsyslog只要被编辑过就无法继续记录,需要
systemctl restart rsyslog.service

实例

  1. 记录到普通文件或设备文件::
    . /var/log/file.log # 绝对路径
    . /dev/pts/0
    测试: logger -p local3.info ‘KadeFor is testing the rsyslog and logger ‘ logger 命令用于产生日志

  2. 发送给用户(需要在线才能收到)
    . root
    . root,kadefor,up01 # 使用,号分隔多个用户
    . * # *号表示所有在线用户

  3. 忽略,丢弃
    local3.* ~ # 忽略所有local3类型的所有级别的日志

  4. 执行脚本::
    local3.* ^/tmp/a.sh # ^号后跟可执行脚本或程序的绝对路径
    # 日志内容可以作为脚本的第一个参数.
    # 可用来触发报警

2.日志同步

systemctl stop firewalld ##关闭两台主机的火墙

配置日志发送方
. @172.25.0.11 ##通过udp协议把日志发送到11主机,@udp,@@tcp

配置日志接受方
15 ModLoad imudp          ##日志接收插件  
16 ModLoad imudp          ##日志接收插件  16 UDPServerRun 514 ##日志接收插件使用端口

netstat -anulpe | grep rsyslog
udp 0 0 0.0.0.0:514 0.0.0.0:* 0 122073 32654/rsyslogd
udp6 0 0 :::514 :::* 0 122074 32654/rsyslogd
-a ##all
-n ##不做解析
-t ##tcp
-u ##udp
-p ##进程名称
-e ##扩展信息
测试

/var/log/messages ##两边都作
logger test message ##日志发送方

tail -f /var/log/message ##日志接收方

3.日志采集格式

$template WESTOS, “%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n”
%timegenerated% ##显示日志时间
%FROMHOST-IP% ##显示主机ip
%syslogtag% ##日志记录目标
%msg% ##日志内容
\n ##换行

$ActionfileDefaultTemplate WESTOS
*.info;mail,authpriv,cron.none /var/log/messages;WESTOS
*.info;mail,authpriv,cron.none /var/log/messages

systemd-journald服务

服务提供一种改进的日志管理服务,可以收集来自内核、
启动过程、标准输出、系统日志及守护进程启动和运行期
间错误的消息,它将这些消息写入到一个结构化事件日志

journalctl命令
journalctl ##日志分析命令
journalctl -n 5 ##查看最近生成的5条日志
journalctl -p err ##查看系统报错
journalctl -f ##监控日志
journalctl –since –until ##查看某个时间段生成的日志
journalctl -o verbose ##查看日志能够使用的条件参数
##_SYSTEMD_UNIT=sshd.service服务名称
##_PID=1182进程pid

journalctl
_UID= //进程uid
_PID= //进程id
_GID= //进程gid
_HOSTNAME= //进程所在主机
_SYSTEMD_UNIT= //服务名称
_COMM= //命令名称

4.systemd-journald管理

默认情况下,systemd日志保存在/var/log/journal中,这意
味着系统重启时会被清除,那如果将日志保存
在/var/log/journal目录,这样做的优点是启动后就可以利用历
史数据,形成永久日志
实现步骤:
mkdir /var/log/journal
chowm root:systemd-journal /var/log/journal/
chmod 2755 /var/log/journal/
kill -1 systemd-journald
ls /var/log/journal/4513ad59a3b442ffa4b7ea88343fa55f

5.时间同步

1.服务端
yum install chrony -y ##安装服务

vim /etc/chrony.conf ##主配置文件
21 # Allow NTP client access from local network.
22 allow 172.25.0.0/24 ##允许谁去同步我的时间
27 # Serve time even if not synchronized to any NTP server.
28 local stratum 10 ##不去同步任何人的时间,时间同步服务器级别

systemctl restart chronyd
systemctl stop firewalld

2.客户端
vim /etc/chrony.conf
3 server 0.rhel.pool.ntp.org iburst
4 server 1.rhel.pool.ntp.org iburst====> server ntpserverip iburst
5 server 2.rhel.pool.ntp.org iburst====>
6 server 3.rhel.pool.ntp.org iburst

systemctl restart chronyd

测试:
[root@localhost ~]# chronyc sources -v
210 Number of sources = 1

.– Source mode ‘^’ = server, ‘=’ = peer, ‘#’ = local clock.
/ .- Source state ‘*’ = current synced, ‘+’ = combined , ‘-’ = not combined,
| / ‘?’ = unreachable, ‘x’ = time may be in error, ‘~’ = time too variable.
|| .- xxxx [ yyyy ] +/- zzzz
|| / xxxx = adjusted offset,
|| Log2(Polling interval) -. | yyyy = measured offset,
|| \ | zzzz = estimated error.
|| | |

MS Name/IP address Stratum Poll Reach LastRx Last sample

^* 172.25.0.11 10 6 377 41 +170us[ +201us] +/- 191us

6.timedatectl命令

timedatectl status ##显示当前时间信息
set-time ##设定当前时间
set-timezone ##设定当前时区
set-local-rtc 0|1 ##设定是否使用utc时间

2.klogd:主要登陆内核产生的各项信息
3.logrotate:主要进行日志文件的轮替功能

/etc/logrotate.conf 主要的参数文件
/etc/logrotate.d/ 目录里的所有文件都会被主动读入/etc/logrotate.conf当中来进行

GodDevin
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux系统查看日志
Rookie_hh的博客
08-03 1839
登录linux服务器 获取项目的pod kubectlgetpod-n项目名 进入pod kubectlexec pod名 -it-ndatalake--bash 查看日志目录cd进入 ls查看日志目录 测试服务器上面的项目,然后查看日志
windows系统日志自动备份脚本
04-20
在Windows操作系统中,系统日志记录了系统的各种事件,包括安全事件、系统事件、应用程序事件以及网络连接等信息。这些日志数据对于诊断系统问题、排查故障和审计追踪至关重要。因此,定期对系统日志进行备份是维护...
查看systemctl或service启动服务日志
热门推荐
mikelv01的博客
08-24 4万+
如何查看systemctl启动服务的日志 linux journalctl 命令 journalctl 日志查看方法 最近在使用 systemctl start xxx 发现启动失败了,可是并没有错误日志输出,这让人很抓狂! 最近在启动 minio 集群的时候,发现启动失败,可是并没有详细的错误日志输出,不好排查。 发现通过命令 journalctl -u 服务名 可以查找到指定服务的启动日志。 >> 简介 journalctl 用来查询 systemd-journald 服务收集到的
journalctl查看日志systemctl查看日志
最新发布
qq_25096749的博客
06-16 235
journalctl是centos7专有的日志管理工具,这个工具输出的日志信息是从message中读取出来的,message中会输出大量服务、系统等信息,而journalctl只会输出与该服务相关的数据,但是并不代表能读取message中与该服务相关的所有信息,有时候journalctl看不到有用的信息的时候可以去message中找找。1、实时查看常用服务日志。
systemctl查看log
JackDual的博客
10-19 4784
参考:https://unix.stackexchange.com/questions/225401/how-to-see-full-log-from-systemctl-status-service 最新的部分log systemctl status your-service 查看全部log journalctl -u service-name.service
一个日志系统需要具备哪些功能
程序猿的世界
03-16 5769
在项目开发和线上运行不同场景下,日志系统都是不可或缺的,一般日志有以下几个作用:记录错误、性能分析、查看服务间的调用关系、记录时间等。所以我们的日志系统,就需要围绕这些需求出发来设计,一般要有如下功能点: 日志配置读取:方便不同项目部署,通过更改配置文件即可 日志级别:为了减少线上日志大小,开发环境和线上环境记录错我的级别一般是不一样的,比如一般线上只记fatal和error,开发环境则需要记...
利用Kiwi Syslog收集系统日志.doc
04-24
路由器交换机防火墙等网络设备的系统日志对于排错是非常重要的。虽然这些网络设备本身可以存储日志,但是系统自身存储的日志一般保存时间不超过24小时,并且仅仅以缓存的形式保存在内存里,如果设备关机又重启,之前...
使用C#实现写入系统日志
12-25
首先告诉大家什么是系统日志,请看下面 如果需要写日志,需要管理员权限,如果没有权限会出现下面异常 System.Security.SecurityException:“未找到源,但未能搜索某些或全部事件日志。 不可访问的日志: Security ...
业务系统日志数据采集.rar
10-23
业务系统日志数据采集是IT领域中至关重要的一个环节,特别是在大数据分析、故障排查和系统监控等方面发挥着关键作用。日志数据包含了系统的运行状态、用户行为、异常信息等宝贵信息,通过有效的日志采集,我们可以对...
Linux系统日志全面分析
02-09
"Linux系统日志全面分析" Linux系统日志是指Linux系统中记录操作记录和事件的日志文件,它们可以保存几乎所有的操作记录,并可以从中检索出我们需要的信息。Linux系统拥有非常灵活和强大的日志功能,可以根据日志的...
systemctl启动服务时,配置日志输出控制
SRE运维 网络 系统 安全
11-18 2267
程序的日志交由journal处理后,journal把日志写到了系统日志。日志产生了混乱。通过StandardOutput=null来控制,把日志输出关闭。常见的参数有: StandardInput=null (推荐使用) StandardOutput=inherit StandardError=inherit [service] Type=forking ExecStart= 服务启动命令 SuccessExitStatus=143 ExecStop=/usr/bin/kill -15 $MAIN
Linux 系统服务日志查询 journalctl:查询 systemd 日记
上善若水 的专栏
09-06 2713
systemd在取代 SUSE Linux Enterprise 12 中的传统 init 脚本时(参见第 13 章 “systemd 守护程序”),引入了自身的称为日记的日志记录系统。由于所有系统事件都将写入到日记中,因此,用户不再需要运行基于 syslog 的服务。日记本身是systemd管理的系统服务,全名为。它会根据从内核、用户进程、标准输入和系统服务错误收到的日志记录信息,维护结构化的索引日记,并以此方式来收集和储存日志记录数据。服务默认处于启用状态。
NetLogon 3210 事件记录后 MSA 续订其 Windows 7 SP1 和 Windows Server 2008 R2 SP1 中的密码
weixin_44531283的博客
01-15 268
NetLogon 3210 事件记录后 MSA 续订其 Windows 7 SP1 和 Windows Server 2008 R2 SP1 中的密码 适用于: Windows 7 Service Pack 1Windows Server 2008 R2 Service Pack 1 修补程序下载可用 重要提示:本文章是 Microsoft 软件自动翻译的结果,而非专业译者翻译的结果。 Micro...
Linux系统管理员应该知道的journalctl知识
不吃_花椒的博客
11-05 1943
Linux系统管理员应该知道的journalctl知识 在Systemd出现之前,Linux系统及各应用的日志都是分别管理的,Systemd开始统一管理了所有Unit的启动日志,这样带来的好处就是可以只用一个 journalctl命令,查看所有内核和应用的日志。 基础用法 1.1 查看所有日志(默认显示本次启动的所有日志) [root@devops-101 ~]# journalctl 查看...
systemctl后台服务与journalctl日志与系统日志
weixin_44834554的博客
09-15 3679
systemctl journalctl用法
单元10:Linux中的日志管理
qq_46490950的博客
04-13 215
在以下实验环境下进行 westos_localhost:172.25.254.229 westos_localhost: 172.25.254.129 两个主机都执行关闭防火墙操作:systemctl stop firewalld 一、journald 服务名称:systemd-journald.service 默认日志存放路径: /run/log journalctl: journalctl -n 3 日志的最新3条 journalctl --since “2020-05-01 11:00:00” 显示1
linux学习笔记(十):linux系统中日志管理
qq_42003848的博客
04-12 386
linux系统中的文件传输一.journald1.journalctl命令的用法2.用journald服务永久存放日志 一.journald 服务名称:systemd-journald.service journalctl 默认日志存放路径: /run/log 1.journalctl命令的用法 journalctl -n 3 日志的最新3条 –since “2020-05-01 11:00:00” 显示11:00后的日志 –until “2020-05-01 11:05:
Linux系统中的日志管理
cjzcc1996的博客
11-04 2638
文章目录前言一、基本知识1、systemd-journald.service服务2、journalctl命令的用法3、用 journald 服务永久存放日志二、rsyslog:日志的存储位置1、日志存储路径2、日志同步3、更改日志格式3、时间timedatectl4、时间同步 前言 本文学习在Linux中的本地日志管理和多台主机之间的日志管理。 一、基本知识 1、systemd-journald.service服务 服务名称:systemd-journald.service 默认日志存放路径: /ru.
flume系统日志
06-01
Flume的系统日志默认存储在控制台或者标准输出流中,如果需要将日志保存到文件中,可以通过配置log4j.properties文件实现。 1. 打开Flume的安装目录,找到conf目录,创建一个名为log4j.properties的文件。 2. 在log4j.properties文件中添加以下内容: ``` #设置日志级别 log4j.rootLogger=INFO,LOGFILE #输出到文件中 log4j.appender.LOGFILE=org.apache.log4j.RollingFileAppender log4j.appender.LOGFILE.File=/path/to/flume/logs/flume.log log4j.appender.LOGFILE.MaxFileSize=10MB log4j.appender.LOGFILE.MaxBackupIndex=10 log4j.appender.LOGFILE.layout=org.apache.log4j.PatternLayout log4j.appender.LOGFILE.layout.ConversionPattern=%d{ISO8601} [%t] %-5p %c{3}:%L - %m%n ``` 其中,`log4j.rootLogger` 设置日志级别,`log4j.appender.LOGFILE.File` 设置日志文件存储路径,`log4j.appender.LOGFILE.MaxFileSize` 设置日志文件最大大小,`log4j.appender.LOGFILE.MaxBackupIndex` 设置备份日志文件的数量,`log4j.appender.LOGFILE.layout.ConversionPattern` 设置日志输出格式。 3. 保存文件并重启Flume,日志将会被记录在指定的日志文件中。 注意:在配置文件中,路径要使用斜杠“/”而不是反斜杠“\”。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值