1.rsyslog
此服务是用来采集系统日志的,它不产生日志,只是起到采集作用
2.rsyslog的管理
/var/log/messages ##服务信息日志
/var/log/secure ##系统登陆日志
/var/log/cron ##定时任务日志
/var/log/maillog ##邮件日志
/var/log/boot.log ##系统启动日志
指定日志采集路径
什么类型的日志.什么级别的日志 /var/log/life ##日志采集规则
日志类型分为:
| 类型 | 意义 |
|---|---|
| auth | pam产生的日志 |
| authpriv | ssh,ftp等登陆信息的验证信息 |
| cron | 时间任务相关 |
| kern | 内核 |
| lpr | 打印 |
| 邮件 | |
| mark(syslog)-rsyslog | 服务内部的信息,时间标识 |
| new | 新闻组 |
| user | 用户程序产生的相关信息 |
| uucp | unix to unix copy,unix主机之间相关的通讯 |
| local 1~7 | 自定义的日志设备 |
日志级别分为:
| 级别 | 意义 |
|---|---|
| debug | 有调试信息的,日志信息最多 |
| info | 一般信息的日志,最常用 |
| notice | 最具有重要性的普通条件的信息 |
| warning | 警告级别 |
| err | 错误级别,阻止某个功能或者模块不能正常工作的信息 |
| crit | 严重错误,阻止整个系统或者整个软件不能正常工作的信息 |
注意:从上到下,级别从低到高,记录的信息越来越少
详细信息可以查看手册:man 3 syslog
操作示例:
目的:把系统中所有日志采集到/var/log/westos文件中
操作:
执行 vim /etc/rsyslog.conf
添加 . /var/log/westos
执行 systemctl restart rsyslog ##重启rsyslog
执行 systemctl restart sshd ##此命令是为了生成日志
执行 cat /var/log/westos ##查看日志出现的日志信息
3.日志的远程同步
在日志发送方:
执行 vim /etc/rsyslog.conf
添加 . @172.25.254.xxx ##"@“表示udp协议发送,”@@"表示tcp协议发送
执行 systemctl restart rsyslog
在日志接收放:
执行 vim /etc/rsyslog.conf
开放 15 $ModLoad imudp ##日志接收模块
16 $UDPServerRun 514 ##开启接收端口
执行 systemctl restart rsyslog
systemctl stop firewalld ##关闭火墙
systemctl disable firewalld ##设定火墙开机关闭
测试:
在发送方和接收方都清空日志文件:
/var/log/messages
在日志发送方:
logger test
cat /var/log/messages ##查看日志已经生成
在日志接收方查看
cat /var/log/messages
日志采集格式的设定
vim /etc/rsyslog.conf
$template LOGFMT,"%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n"
%timegenerated% ##显示日志时间
%FROMHOST-IP% ##显示主机IP
%syslogtag% ##日志记录目标
%msg% ##日志内容
\n ##换行
. /var/log/westos;LOGFMT ##在指定的日志中采用LOGFMT格式
$ActionFileDefaultTemplate LOGFMT ##修改系统默认日志采集格式为LOGFMT
cat /var/log/westos
####时间同步服务####
服务名称: chronyd
在服务端:
vim /etc/chrony.conf
22 allow 172.25.254.0/24 ##允许哪些客户端同步本机时间
29 local stratum 10 ##本机不同步任何主机的时间,本机作为时间源
systemctl restart chronyd
在客户端:
vim /etc/chrony.conf
server 172.25.254.xxx iburst ##本机立即同步xxx主机的时间
systemctl restart chronyd
测试(在客户端和服务端都关闭火墙)
在客户端:
chronyc sources -v
timedatectl 命令
timedatectl ##管理系统时间
| 命令 | 作用 |
|---|---|
| timedatectl status | 显示当前时间信息 |
| timedatectl set-time | 设定当前时间 |
| timedatectl set-timezone | 设定当前时区 |
| timedatectl set-local-rtc 0 | 1 |
| timedatectl list-timezone | 查看支持的所有时区 |
示例:
journal 命令
| 命令 | 作用 |
|---|---|
| journalctl | 日志查看工具 |
| journalctl -n 3 | 查看最近3条日志 |
| journalctl -p err | 查看错误日志 |
| journalctl -o verbose | 查看日志的详细参数 |
| journalctl --since | 查看到什么时间开始的日志 |
| journalctl --until | 查看到什么时间为止的日志 |
示例:
2.如何使用systemd-journald保存系统日志
默认systemd-journald是不保存系统日志到硬盘的
那么关机后再次开启只能看到本次开机之后的日志,上一次关机之前的日志是无法查看的
mkdir /var/log/journal
chgrp systemd-journal /var/log/journal
chmod g+s /var/log/journal
killall -1 systemd-journald
ls /var/log/journal
926cb0e817ea4adb916183df8c4fc817
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
