Linux运维入门～10.系统日志管理与时间同步

在Linux中，有两种管理系统日志的服务:rsyslog与journal

区别：rsyslog是对日志进行采集，journal是直接查看日志

一.rsyslog

1.系统日志存放位置

/var/log/messages         服务信息日志         

/var/log/secure             系统登录日志

/var/log/cron                  定时任务日志

/var/log/maillog              邮件日志

/var/log/boot.log             系统启动日志

例：vim /etc/log/messages

2.日志管理服务

/etc/rsyslog.conf           主配置文件,包含rsyslog所有信息

管理员可以修改，删除，添加规则

1）自定义日志采集方式

vim  /etc/rsyslog.conf

添加存放日志文件：

在55空行添加：*.*;authpriv.none                       /var/log/westos

添加存放日志文件wesos

验证：

自定义日志格式：

在47空行添加规则:

1. %timegenerated%       日志生成时间
2. %FROMHOST-IP%      日志来源主机ip
3. %syslogtag%                 日志生成程序
4. %msg%                          日志内容
5. \n                                     换行

在文件路径后添加规则名称westos

保存并退出，重启rsyslog服务

测试：重启sshd服务，产生系统日志

可见系统日志变成了这个样子

2）日志远程同步

PC1 ip:172.25.254.201    发送方

PC2 ip:172.25.254.178    接收方

1.发送方配置

添加规则：

*.*          @172.25.254.178

重启rsyslog服务

2.接收方配置

去掉15，16行前#

重启rsyslog服务

由于防火墙会阻止来自发送方的日志消息，为了实验效果，我们暂时关闭防火墙

验证：

为了实验环境纯净，我们先清空/var/log/messages中的内容

然后cat /var/log/messages

发送方重启sshd服务产生系统日志

接收到发送方的重启sshd系统日志

---

二.journal

系统日志查看工具

1. journalctl  -n  3                   查看最近三条日志
2. journalctl  -p err                  查看错误类型日志（-p 可跟日志类型即为x类日志）
3. journalctl  -f                          日志监控
4. journalctl  --since  --until     查看从xx时间到xx时间的日志
5. journalctl  -o verbose          查看日志详细参数
6. journalctl  _pid=651            查看指定pid的进程日志

管理程序systemd-journald：

该程序默认只对日志进行查看而不进行保存采集，关机后会失去以前的日志

如何使该程序保存日志文件到硬盘？

mkdir /var/log/journal

在/var/log目录下新建journal目录

chgrp systemd-journald /var/log/journal

更改目录组属性

chmod g+s /var/log/journal

更改journal下文件组属性

killall -1 systemd-journald

重启进程，会在journal下自动生成文件

日志就会一直保存在jounal中

 

三.时间同步

PC1 ip:172.25.254.201    发送方

PC2 ip:172.25.254.178    接收方

实现PC1与PC2时间同步

PC1：

PC2：

1.发送端配置

修改chrony配置文件：vim /etc/chrony.conf

允许PC2同步PC1的时间

不去同步任何人的时间，时间同步服务器级别

重启服务：systemctl restart chronyd

注意：关闭防火墙 systemctl stop firewalld.service

2.接收端配置

修改chrony配置文件：vim /etc/chrony.conf

添加时间同步服务器PC1
重启服务：systemctl restart chronyd

测试：chronyc sources -v

最后一行出现^*开头即成功同步时间。

 

四.timedateacl命令

timedatectl        status                
         同timedateacl                显示当前时间信息

timedatectl list-timezones     列出时区表
                    set-time                设定当前时间
                    set-timezone        设定当前时区
                    set-local-rtc 0|1    设定是否使用utc时间                      

可以查看vim /etc/adjtime，实际上改变的是此文件
           

写在最后，如果大家喜欢linux运维方面的知识，欢迎关注本博主，会每周更新与linux运维相关的一些小知识，帮助大家入门

愿你与我一同成长！

往期：

ttps://blog.csdn.net/Stella_Pooter/article/details/82951345        Linux运维入门～1.虚拟机使用

https://blog.csdn.net/Stella_Pooter/article/details/82952307      Linux运维入门～2.命令行使用技巧

https://blog.csdn.net/Stella_Pooter/article/details/82960344      Linux运维入门～3.文件管理

https://blog.csdn.net/Stella_Pooter/article/details/82971516      Linux运维入门～4.输入输出管理与vim管理

https://blog.csdn.net/Stella_Pooter/article/details/82983752      Linux运维入门～5.用户管理

https://blog.csdn.net/Stella_Pooter/article/details/82986125      Linux运维入门～6.文件权限管理

https://blog.csdn.net/Stella_Pooter/article/details/82989454      Linux运维入门～7.进程管理

https://blog.csdn.net/Stella_Pooter/article/details/83000027      Linux运维入门～8.sshd服务管理

https://blog.csdn.net/Stella_Pooter/article/details/83052049      Linux运维入门～9.文件传输

Never say die