日志采集规则与时间同步及at延时

首先重置两台虚拟机
设置ip分别为+100    +200
nm-connection-editor

进行设置

控制主机名

hostnamectl set-hostname node2或1.example.com

退出重联即可

日志
在/var/log/messages内
1.日志采集规则 


 #vim /etc/rsyslog.conf      #可进入后更改日志采集规则
*      .   *              文件名称

日志类型.日志级别            日志存放文件

更改后需重新读取配置文件   #systemctl restart restart rsyslog.service

     
auth   用户登陆日志（pam产生日志）
authpriv   服务认证日志（sshd认证）
kern 内核日志
cron  定时任务日志
lpr 打印机日志
mail 邮件日志
news 新闻
user  用户相关程序日志
local 1-7  用户自定义日志




例如  ：vim /etc/rsyslog.conf
auth.debug     /var/log/westos
*.*   /var/log/log.all








日志级别
debug     #系统调式信息
info      #常规信息
warning   #警告信息
err       #报错（级别低，阻止了某个功能不能正常工作）
crit       #报错（级别高，阻止了整个软件或整个系统不能正常工作）
alert      #需要立即修改的信息
energ      #内核崩溃
none      #不采集任何日志信息





系统常用日志(查看日志cat   /var/log/......)


/var/log/messages        #所有日志级别的常规信息（不包含邮件服务认证定时任务）

/var/log/maillog          #邮件日志

/var/log/secure        #服务认证日志

/var/log/cron           #定时任务日志

2.日志的远程同步

在日志发送方
vim /etc/rsyslog.conf

*.*    @192.25.254.201  #日志接收方地址

将所有日志传送给192.25.254.201

systemctl restart rsyslog.service(重启)

在日志接收方
vim /etc/rsyslog.conf
15$ModLoad imudp

16$UDPServerRun 514

关闭防火墙
systemctl restart rsyslog
systemctl stop firewalld

systemctl disable firewalld

(回去先执行> /etc/rc.d/rc.local)






3.定义日志采集格式




接收端
vim /etc/rsyslog.conf
$template 格式名称，“日志采集格式”
*.info;mail.none;authpriv.none;cron.none




.info;mail.none;authpriv.none;cron.none                /var/log/messages;westos
$template westos,"%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n"
%timegenerated%    日志生成时间
%FROMHOST-IP%   日志来源主机的ip
 %syslogtag%   日志生成程序
%msg%   #日志内容

\n      #换行

完了后重启两台虚拟机systemctl restart rsyslog

清空>/var/log/messages

然后cat /var/log/messages

往复观察

journalctl    查看日志工具（不采集）

journalctl -n 3 查看最新三个

journalctl -p err   查看系统报错

journalctl -f      用户ctrl+c结束监控

journalctl --since    --until  查看从一段时间到另一段时间

journalctl -o verbose  查看日志详细参数 

 

_pid=xxx       journalctl _PID=xxx查看

（ systemctl status sshd  查看PID

  systemctl restart sshd.service 重启就会换）重启reboot

 对systemd-journald管理
默认此程序只负责对日志进行查看而不对日志进行保存和采集
那么关机后再开机，对日志进行查看，只能查看到开机后的日志，系统之前的日志因为是保存在内存中，所以关机后就被晴空

如何让systemd-journal保存在硬盘中

mkdir /var/log/journal(创建目录格式不能变)

chgrp systemd-journal    /var/log/journal

chmod g+s   /var/log/journal   

   

killall -1 systemd-journald

journalctl -n 3（看看日志保存的最后时间）

date            （看关机时间）

reboot

journalctlcat(看关机前的日志保存否)

由此可见保存了
6.时间同步
在服务器端共享时间
vim /etc/chrony.conf
29行   local stratum 10          #开启时间共享功能并设置共享级别
                                  #这个参数开启后本机不去
                                   同步别人的时间到本机
22行    allow 172.25.254.101      允许哪些客户端来访问本纪共享时间
systemctl restart chronyd




在客户端
vim /etc/chrony.conf
server 172.25.254.201 iburst

systemctl restart chronyd

chronyc sources -v(查看时间同步状态)
210 Number of sources = 1


  .-- Source mode  '^' = server, '=' = peer, '#' = local clock.
 / .- Source state '*' = current synced, '+' = combined , '-' = not combined,
| /   '?' = unreachable, 'x' = time may be in error, '~' = time too variable.
||                                                 .- xxxx [ yyyy ] +/- zzzz
||                                                /   xxxx = adjusted offset,
||         Log2(Polling interval) -.             |    yyyy = measured offset,
||                                  \            |    zzzz = estimated error.
||                                   |           |                         
MS Name/IP address         Stratum Poll Reach LastRx Last sample
===============================================================================
^* 172.25.254.101            10   6    17     9    +15ms[  +15ms] +/-   85ms

timedatectl 查看时间

timedatectl list-timezones         ##列出时间表

timedatectl set-timezone Asia/Shanghai     ##设置时间为中国时间

设置本地时间
timedatectl set-local-rtc 0    ###不使用本地时间

vim /etc/adjtime

timedatectl set-local-rtc 1    ###使用本地时间

vim /etc/adjtime

timedatectl set-time '2018-11-11 11:11:11'设置时间






延时
at
at  时间

at now+5min

at -l     ####查看有哪些延时命令

at -r 1   ####删除对应标号的延时命令








at命令用户黑名单
vim /etc/at.deny
当白名单建立时，除超级用户与名单内的其他用户都不可执行at,且黑名单失效
vim /etc/at.allow