Linux之系统日志，时间同步

一.系统日志

1.系统日志的默认分类

/var/log/messages              ##系统服务及日志，包括服务的信息，报错等等

/var/log/secure                   ##系统认证信息日志

/var/log/maillog                  ##系统邮件服务信息

/var/log/cron                       ##系统定时任务信息

/var/log/boot.log                 ##系统启动信息

2.日志管理服务rsyslog

(1)rsyslog负责采集日志和分类存放日志

(2)/etc/rsyslog.conf   ##系统日志的主配置文件

格式：

日志设备.日志级别               /日志存放的目录

日志设备：

auth         ##pam产生的日志

authpriv        ##ssh,ftp等登录信息的验证信息

cron         ##时间任务相关

kern         ##内核

lpr          ##打印

mail         ##邮件

mark(syslog)–rsyslog ##服务内部的信息,时间标识

news         ##新闻组

user         ##用户程序产生的相关信息

uucp         ##unix to unix copy, unix主机之间相关的通讯

local 1-7        ##自定义的日志设备

日志级别：

debug          ##有调式信息的，日志信息最多

info         ##一般信息的日志，最常用

notice          ##最具有重要性的普通条件的信息

warning         ##警告级别

err          ##错误级别，阻止某个功能或者模块不能正常工作的信息

crit         ##严重级别，阻止整个系统或者整个软件不能正常工作的信息

alert          ##需要立刻修改的信息

emerg          ##内核崩溃等严重信息

none           ##什么都不记录

注意：从上到下，级别从低到高，记录的信息越来越少

详细的可以查看手册: man 3 syslog

测试：

vim /etc/rsyslog.conf      

*.*           /var/log/xinxi    ###把所有日志设备的所有信息放到/var/log/xinxi

systemctl restart rsyslog         ###重启日志服务

3.系统日志的同步

(日志接收端)服务器 IP：172.25.254.204

(日志发送端)客户端 IP：172.25.254.104

首先关闭两台主机的防火墙

systemctl stop firewalld

(1)服务端

$ModLoad imudp   ##日志接收插件

$UDPServerRun 514 ##日志接收插件使用端口

systemctl restart rsyslog

(2)客户端

*.*         @172.25.254.204    ##通过udp协议把日志发送(@udp，@@tcp)

systemctl restart rsyslog

netstat -anulpe | grep rsyslog           ###查看日志服务占用的端口

-a                ##all

-n                ##不做解析

-t                ##tcp

-u                ##udp

-p                ##进程名称

-e                ##扩展信息

测试：

> /var/log/messages      ##两边分别清空之前的日志

logger test message      ##日志发送方也就是客户端做日志的检测

服务端：  成功同步日志

客户端：    

4.日志的采集格式

vim /etc/rsyslog.conf

$template westos, "%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n"

%timegenerated% ##显示日志时间

%FROMHOST-IP%  ##显示主机ip

%syslogtag%    ##日志记录目标

%msg%        ##日志内容

\n          ##换行

测试：

5.日志的分析工具

systemd-journald         ##进程名称

journalctl             ##直接执行，浏览系统日志

-n 4              ##显示最新4条

-p err               ##显示报错

-f                  ##监控日志

--since --until ## --since "[YYYY-MM-DD] [hh:mm:ss]" 从什么时间到什么时间的日志

journalctl --since '21:48:12'  --until '21:52:18'   ###从21:48:12到21:52:18的日志

journalctl --since '21:48:12'  ###从21:48:12到现在时间的日志

6.对systemd-journald管理

##默认情况下此程序会忽略重启前的日志信息，如不忽略：

mkdir  /var/log/journal

chown root.systemd-journal  /var/log/journal

chmod 2755 /var/log/journal

killall -1 systemd-journald  ###刷新日志管理服务的信息

二.时间同步

1.服务端

yum install chrony -y   ##安装服务 

vim /etc/chrony.conf    ##主配置文件

：

# Allow NTP client access from local network.

allow 172.25.254.0/24 ##允许谁去同步我的时间

# Serve time even if not synchronized to any NTP server.

local stratum 10 ##不去同步任何人的时间，时间同步服务器级别

systemctl restart chronyd    

systemctl stop  firewalld  ###关闭服务端防火墙

2.客户端

vim /etc/chrony.conf

：

server ntpserverip iburst

systemctl restart chronyd   ###重启服务

chronyc sources -v   ###查看是否同步成功

如果服务端的时间重新设定，服务端重启chronyd服务，即可再次同步时间

3.timedatectl的一些命令

timedatectl  status            ##显示当前时间信息

         set-time           ##设定当前时间

         set-timezone        ##设定当前时区

         set-local-rtc 0|1     ##设定是否使用utc时间