****系统日志****
1.系统日志默认分类/var/log/messages 系统服务及日志,包括服务的信息,报错等等
/var/log/secure 系统认证信息日志
/var/log/maillog 系统邮件服务信息
/var/log/cron 系统定时任务信息
/var/log/boot.log 系统启动信息
2.日志管理服务:rsyslog
rsyslog负责采集日志和分类存放日志
/etc/rsyslog.conf ##主配置文件
改动配置文件后重新启动读取:systemctl restart rsyslog3.日志级别
debug 有调式信息的,日志信息最多
info 一般信息的日志,最常用
notice 最具有重要性的普通条件的信息
warning 警告级别
err 错误级别,阻止某个功能或者模块不能正常工作的信息
crit 严重级别,阻止整个系统或者整个软件不能正常工作的信息
alert 需要立刻修改的信息
emerg 内核崩溃等严重信息
none 什么都不记录
注意:从上到下,级别从低到高,记录的信息越来越少。
4.日志同步
(1)关闭两台主机的火墙:
systemctl stop firewalld
systemctl disable firewalld
systemctl mask firewalld
(2)配置日志发送方:
vim /etc/rsyslog.conf
55 *.* @172.25.254.227 ##通过udp协议把日志发送到227主机
*.* 前一个*表示所有类型日志,地热个*表示所有日志级别。
(3)配置日志接受方:
将前面的注释符“#”删除。
16 $UDPServerRun 514 日志接收插件使用端口(514)
(4)测试
> /var/log/messages 将日志清空(两边都做)
logger test message 日志发送方
tail -f /var/log/message 日志接收方
5.日志采集格式
$template WESTOS, "%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n"%timegenerated% 显示日志时间
%FROMHOST-IP% 显示主机ip
%syslogtag% 日志记录目标
%msg% 日志内容
\n 换行
$ActionfileDefaultTemplate WESTOS
*.info;mail.none;authpriv.none;cron.none /var/log/messages;WESTOS 54
*.info;mail.none;authpriv.none;cron.none /var/log/messages
6.时间同步
(1)服务端
yum install chrony -y 安装chrony服务
vim /etc/chrony.conf 主配置文件
21 # Allow NTP client access from local network.22 allow 172.25.254.227/24 允许227去同步本主机的时间
27 # Serve time even if not synchronized to any NTP server.
28 local stratum 10 不去同步任何人的时间,即以本主机时间为标准
systemctl restart chronyd
systemctl stop firewalld
(2)客户端
vim /etc/chrony.conf
3 server 0.rhel.pool.ntp.org iburst
4 server 1.rhel.pool.ntp.org iburst
5 server 2.rhel.pool.ntp.org iburst
6 server 3.rhel.pool.ntp.org iburst
server 172.25.254.227 iburst 207主机提供服务
systemctl restart chronyd 重新读取chronyd配置文件测试:
[root@desktop0 ~]# chronyc sources -v
其中“^*”表示同步成功