linux系统中的系统日志

最新推荐文章于 2024-07-26 07:59:37 发布
最新推荐文章于 2024-07-26 07:59:37 发布
阅读量2.8k 收藏 4
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cd15109139570/article/details/79855844
版权

系统日志

1.日志采集规则:

修改日志采集规则编辑配置文件:vim /etc/rstslog.conf
内容如下:

systemctl stop rsyslog.service      关闭日志采集服务,日志依然会采集
systemctl restart  rsyslog.service   开启日志采集服务
*.*                                文件名称
表示:日志类型.日志级别        日志存放文件


日志类型:
auth               用户登陆日至(pam产生日志)
authpriv         服务认证日志(sshd日志)
kern               内和日志
cron               定时任务日志
mail                邮件日志
news              新闻日志
user               用户相关程序日志
local  1-7       用户自定义日志(1-7个级别)


日志级别:
debug                系统调试信息
info                   常规信息
warning            警告信息
err                    报错(级别底,阻止了某个功能不能正常工作)
crit                   报错(级别高,阻止了某个软件或整个系统不能正常工作)
alert                需要立即修改的信息
emerg             内核崩溃
none               不采集任何日志信息

注意:从上到下,级别从低到高,记录的信息越来越少,详细的可以查看手册: man 3 syslog。

例如:
auth.debug  /var/log/westos   用户登陆的系统调式日志采集到/var/log/westos
auth.*     /var/log/hello     用户登陆的所有日志采集到/var/log/hello
*.*        /var/log/all       所有类型的所有级别日志采集到/var/log/all


系统常用日志:
*.info;mail.none;authpriv.none;cron.none    /var/log/messages      所有日志级别的常规信息(不包含邮件日志,服务认证服务,定时任务)
 mail.*                      /var/log/maillog              邮件日志
authpriv.*                /var/log/secure               服务认证日志
cron.*                     /var/log/cron                   定时任务日志


2.日志的远程同步

为什么同步日志:运维人员管理很多台主机,每个查看有难度,所以把日志同到一台主机上查看。
可以通过三种方式发送:UPD(速度快,不需要握手),TCP(需要握手),RELP。
日志同步:
在日志发送方:
编辑配置文件:vim /etc/rsyslog.conf
修改内容:
*.*      @172.25.254.114        日志接收方的地址


在日志接收方:
编辑配置文件:vim /etc/rsyslog.conf
修改内容:

 14 # Provides UDP syslog reception       提供UPD的接收通道
 15 $ModLoad imudp                              接收插件
 16 $UDPServerRun 514                         接收的接口


 

systemctl restart rsyslog            重启服务
systemctl stop    firewalld        关闭防火墙
systemctl disable firewalld      设置开机关闭防火墙
cat /var/log/messages             查看日志



3.自定义日志采集格式:

在日志接收方编辑配置文件:vim /etc/rsyslog.conf
修改内容:
$template 格式名称,“日志采集格式”


$template westos,"%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n"
%timegenerated%         
日志来源主机ip
%FROMHOST-IP%         日志来源主机ip
%stslogtag%                 日志生成程序
%msg%                         日志内容
\n                                  换行
*.info;mail.none;authpriv.none;cron.none   /var/log/messages;westos   日志采集格式为westos
cat  /var/log/messages       查看日志

例如:$template westos,"%FROMHOST-IP% %timegenerated%  %syslogtag%  %msg%\n"
格式为:日志来源主机ip,日志来源主机ip,日志生成程序,日志内容,换行


4.系统日志查看工具

journalctl    参数
               -n  3       最新3 行的日志
               -p err      查看报错日志
               -f          监控日志,ctrl+c结束监控
               --since  --until    查看从什么时间到什么时间的日志
               -o verbose  查看日志详细参数 _pid=651  journalctl _pid=65
例如:journalctl         -n   3       显示最近三行的日志

5.对systemd-journald管理
默认此程序只负责对日志进行查看而不对日志进行保存和采集。
那么关机后在开机,对日志进行查看,只能看到开机后的日志,系统之前的日志因为是保存在内存中的,所以关机后就被清空了,那么在开机时用journalctl看不到的。



如何让systemd-journald保存日志在硬盘中
mkdir /var/log/journal                                   建立目录
chgrp systemd-journal  /var/log/journal       改变所属组
chmod g+s /var/log/journal/                         改变权限
ls -ld /var/log/journal                                   查看权限
killall -1 systemd-journald                           重新加载配置

测试:
journalctl -n 3              查看最新3行日志
date                             查看时间
reboot                         重启
journalctl                   查看日志(如果有reboot之前时间的日志说明设置成功)

6.连接符号

.xxx: 表示大于等于xxx级别的信息
.=xxx:表示等于xxx级别的信息
.!xxx:表示在xxx之外的等级的信息

7.时间同步

1.服务端共享时间
编辑配置文件:vim    /etc/chrony.conf             主配置文件
21 # Allow NTP client access from local network.
22 allow 172.25.0.0/24           允许谁去同步我的时间
27 # Serve time even if not synchronized to any NTP server.
28 local stratum 10          不去同步任何人的时间,时间同步服务器级别
systemctl      restart      chronyd           重启服务
systemctl      stop         firewalld           关闭防火墙

2.客户端
编辑配置文件:vim /etc/chrony.conf
  3 server 0.rhel.pool.ntp.org iburst
  4 server 1.rhel.pool.ntp.org iburst====> server ntpserverip iburst
  5 server 2.rhel.pool.ntp.org iburst====>
  6 server 3.rhel.pool.ntp.org iburst
内容为:
server 172.25.254.107 iburst     同步172.25.254.107这台主机的时间
syatemctl restsrt chronyd         重启服务
chronyc sources -v                   查看同步的信息
重启服务:systemctl restart chronyd
关闭防火墙:systemctl  stop   firewalld
测试:
[root@localhost ~]# chronyc sources -v
210 Number of sources = 1
  .-- Source mode  '^' = server, '=' = peer, '#' = local clock.
 / .- Source state '*' = current synced, '+' = combined , '-' = not combined,
| /   '?' = unreachable, 'x' = time may be in error, '~' = time too variable.
||                                                 .- xxxx [ yyyy ] +/- zzzz
||                                                /   xxxx = adjusted offset,
||         Log2(Polling interval) -.             |    yyyy = measured offset,
||                                  \            |    zzzz = estimated error.
||                                   |           |                         
MS Name/IP address         Stratum Poll Reach LastRx Last sample
===============================================================================
^* 172.25.0.11                  10   6   377    41   +170us[ +201us] +/-  191us
 注意:"*"表示同步成功。


8.timedatectl命令

timedatectl        status                       显示当前时间信息
                          set-time                   设定当前时间
                          set-timezone            设定当前时区
                           set-local-rtc 0|1      设定是否使用utc时间
例如:timedatectl     status                 显示当前时间信息
例如:timedatectl     set-time     "2018-12-12"     设定当前时间为2018-12-12

例如:timedatectl       set-timezone     Asia/Shanghai         设置当前时区为上海
例如:timedatectl     set-local-rtc   0         不使用UTC时间     


Hi-hiro
关注
Linux(日志管理)7/7
胡胡大妞的博客
03-09 1326
(一)日志管理基础 rsyslog 日志管理 logrotate 日志轮转 (二) 处理日志的进程 rsyslogd: 处理绝大部分系统相关的日志记录(比如: 和系统操作有关的安全,认证ssh,su,计划任务at/cron......) hrttpd/nginx/mysql: 这些第三方的进程大多可以以自己的方式记录日志,不需要rsyslogd (三)常见的日志文件(系统、...
Linux自定义的日志怎么写,自定义日志:记录Linux主机操作
weixin_36391538的博客
05-04 451
一、背景Linux系统自带的shell窗口操作记录文件.history,可以记录用户执行过的命令,但是存在不足的是,记录的日志文件易于被删除,或者信息量较少。有没有什么方式可以在各个Linux主机上留存shell窗口的操作记录,并且有丰富的说明信息(命令、执行人、执行时间、执行目录等)?二、分析考虑使用shell脚本来实现:1、另存shell操作的日志内容2、丰富日志内容的说明信息(命令、执行人、...
linux /var/log/secure 文件不记录登录日志
Jepson的博客
05-18 2717
发现centos服务器,/var/log/secure 文件并未记录到用户的登录日志,重启 rsyslog和sshd服务后(重启命令:systemctl restart rsyslog;systemctl restart sshd ),仍未记录。发现 SyslogFacility 配置被注释掉了,去掉注释,重启启动sshd。
linux 日志大全
最新发布
jylee的博客
07-26 1104
一、filebeat 日志空格介绍在 filebeat ,日志空格是指一个文本块的空白字符。当 filebeat 读取日志文件时,会将日志文本分割成多个每行的文本块,然后解析每个文本块以提取重要信息。在默认情况下,filebeat 使用空格分割日志文本块。如果您的文本块包含其他分隔符,您可以使用正则表达式或多个分隔符来定义您的分隔符。二、filebeat 设置日志空格在 filebeat 设置日志空格非常简单。
centos 6.4 /var/log/secure 不记录日志的問題
05-02 630
先确保日志服务开启;不妨重启下日志服务;由于目前RHEL 6/centos 6已经使用rsyslog替换了syslog.,所以不要在找/etc/syslog.conf了;重启命令:/etc/init.d/rsyslog restart尝试ssh重新登录進行测试,secure有信息了問題解决 转载于:https://www.cnblogs.com/see7di/p/3703708.htm...
Linux日志管理
腼腆的小萌萌
10-19 376
前言 日志就是记录系统重大事件的方式 默认情况下日志存放在 /var/log /messages 日志的采集 什么是rsyslog? 举个例子 默认情况下日志存放在 /var/log /messages 方便查看先清空日志 > /var/log/messages 然后我们可以编辑一个配置文件(我这里是vim了/etc/ssh/sshd_config里面任意添加了一个东西)保存并退出 ...
Linux 系统手动滚动日志的方法
09-14
Linux 系统,日志管理是一项至关重要的任务,因为日志文件记录了系统的运行状态和错误信息,有助于诊断问题和维护系统安全。日志滚动(log rotation)是一种自动化策略,用于定期清理和管理日志文件,避免单个...
linux系统日志详解
11-17
Linux系统日志详解 在Linux操作系统,日志系统扮演着至关重要的角色,它记录了系统运行的事件、错误和警告信息,为管理员提供了一种监控和诊断系统状况的手段。Linux日志主要分为几个部分,包括日志的分类、...
Linux_如何处理系统日志系统轮转
01-09
知道了在Linux系统如何进行rsyslog 系统日志管理和 logrotate日志轮转。 拼搏到无能为力,坚持到感动自己。 简述: 1.处理日志程序 a。rsyslog b。其他不同的应用 2.常见的日志文件 ar/log/messages ar/log/...
linux系统c++写日志文件功能分享
09-04
Linux系统,C++编写日志文件是常见的任务,特别是在开发系统软件或者服务时,为了追踪程序运行状态和错误信息,日志记录是必不可少的。本文将介绍一种简化自glog的日志功能,它专注于写入日志文件,不再包含glog...
Linux系统日志文件的打印与存储
02-24
Linux系统,日志文件的管理和分析是系统维护和故障排查的重要环节。日志文件记录了系统运行过程的各种事件,包括系统启动、服务状态、应用程序错误、安全事件等,为管理员提供了宝贵的信息资源。本文将深入...
linux 下日志的参数及相关操作
iaMay_____的博客
04-19 458
日至的分类auth      用户登陆日志(pam) authpriv   服务登陆日志kern‘  内核日志cron  定时任务日志lpr  打印机日志  mail  邮件日志news    新闻user   用户相关程序日志local   用户自定义查看对应日志通过 cat  /var/log/日志所属文件    即可系统常用的日志有/var/log/messages             ...
Linux系统日志管理
weixin_34124651的博客
11-10 76
Linux系统日志管理 日志分类: 1. 连接时间的日志   连接时间日志一般由/var/log/wtmp和/var/run/utmp这两个文件记录,不过这   两个文件无法直接cat查看,并且该文件由系统自动更新,可以通过如下:   w/who/finger/id/last/las...
linux下的日志采集---rsyslog
热门推荐
xianjie0318的博客
06-09 2万+
一、linux日志文件及日志分析    1、linux日志简介      Linux系统拥有非常灵活和强大的日志功能,可以保存几乎所有的操作记录,并可以从检索出我们需要的信息。 大部分Linux发行版默认的日志守护进程为 syslog(后续升级rsyslog),位于 /etc/syslog 或 /etc/syslogd,默认配置文件为 /etc/syslog.conf,任何希望
【AUDIT】实现将SYS用户的操作信息记录到操作系统日志
cuanchuwei1207的博客
04-27 263
本文以Linux操作系统为例。实现将SYS用户的动作记录到操作系统系统日志,对应的操作系统日志文件是“/var/log/messages”。1.调整数据库参数实现这个功能最关键的参数便是“audit_syslog_leve...
Linux简单的命令
sincelegend的博客
07-09 161
进入目录 cd /home 进入 '/ home' 目录' cd .. 返回上一级目录 cd ../.. 返回上两级目录 cd 进入个人的主目录 cd ~user1 进入个人的主目录 cd - 返回上次所在的目录 pwd 显示工作路径 ls 查看目录的文件 ls -F 查看目录的文件 ls -l 显示文件和目录的详细资料 ls -a 显示隐藏文件 ls *[0-9]* 显...
NTP 时间服务器
尘埃落定
05-12 2389
NTP 时间服务器 ,为客户机提供标准时间 原理:NTP(Network TimeProtocol,网络时间协议)是用来使计算机时间同步的一种协议。它可以使计算机对其服务器或时钟源做同步化,它可以提供高精准度的时间校正 1、客户端安装chrony软件与NTP服务器沟通 ]# yum -y install chrony 2、修改配置文件 /etc/chrony.conf 指定服务端...
linux基本命令之系统管理命令
m0_52165864的博客
08-30 3221
不管是在windows还是Linux系统要校验某台服务器是否可以ping通,都可以使用命令,如果要加上端口的,Linux可以使用telnet命令。① lo --- loopback 本地回环接口,这个网卡是虚拟的,每一台服务器上都有一个这样的网卡。inet 127.0.0.1/8 这个网卡的ip地址基本上都是127.0.0.1,自己、本身的ip地址,是用来检测自身的。而 kill 则有局限性,例如后台进程,守护进程等。其top 命令的使用:---系统监控命令,查看有没有到瓶颈---有就需要扩容。
Linux运维之认识与分析日志文件(rsyslog服务),时间同步服务(chronyd服务)及时间管理命令(timedatectl)
qq_42303254的博客
11-05 3024
一、实验环境(rhel7.0版本) 主机环境:rhel7.0 各主机信息 主机名 IP server 172.25.254.1 client 172.25.254.2 二、日志文件介绍 1、Linux 常见的日志文件文件名 日志文件可以帮助我们了解很多系统重要地事件,包括登录者的部分信息,因此日志文件地权限通常设置为仅有 root 能够...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值