1、实验环境
需要准备两台主机,并且两台主机可以实现网络互通
2、journal日志查看工具的使用
journalctl 系统中查看日志的命令
默认日志存放路径: /run/log
其中 journal里面存放着日志数据
hostnamectl 查看machineid
journalctl命令的用法
journalctl
| -n | 数字 | 查看日志的最新几条 |
|---|---|---|
| - -since | 时间 | 显示(时间)后的日志 |
| - -until | 时间 | 显示到(时间)的日志 |
| -o | short | 经典模式显示日志 |
| -o | verbose | 显示日志的全部字节 |
| -o | export | 适合传出和备份的二进制格式 |
| -o | json | js格式显示输出 |
| -p | 0/emerg | 系统的严重问题日志 |
| -p | 1/alert | 系统中中立即要更改的信息 |
| -p | 2/crit | 严重级别会导致系统软件不能正常工作 |
| -p | 3/err | 程序报错 |
| -p | 4/warrning | 程序警告 |
| -p | 5/notice | 重要信息的普通日志 |
| -p | 6/info | 普通信息 |
| -p | 7/debug | 程序排错信息 |
| -F | PRIORITY | 查看可控日志级别 |
| -u | 服务名称 | 查看指定服务 |
| –disk-usage | 查看日志大小 |
|---|---|
| –vacuum-size=1G | 设定日志存放大小 |
| –vacuum-time=1W | 日志在系统中最长存放时间 |
3、利用systemd-journal永久存储日志
日志存放路径 /run/log里面的内容会在重启时清理掉,我们需要将日志永久保存则需要以下步骤
1、重新建立一个新的目录
mkdir /var/log/journal
2、将所有组改为systemd-journal
chgrp systemd-journal /var/log/journal
3、设定新目录新出现的文件也要属于systemd-journal
chmod 2775 /var/log/journal
4、重启systemd-journal服务
systemctl restart systemd-journald.service
4、rsyslog日志的采集规则
服务名称:rsyslog.service
日志存放:
| /var/log/messages | 系统服务日志,常规信息,服务报错 |
|---|---|
| /var/log/secure | 系统认证信息日志 |
| /var/log/maillog | 系统邮件日志信息 |
| /var/log/cron | 系统定时任务信息 |
| /var/log/boot.log | 系统启动日志信息 |
所在的配置文件:/etc/rsyslog.conf
(* . * /var/log/westos) 把系统中所有级别的日志存放到westos中
(.;authpriv.none /var/log/westos )把系统中所有级别的日志存放到westos中,但服务认证日志不记录在文件中
日志类型
| auth | 用户认证 |
|---|---|
| authpriv | 服务认证 |
| cron | 时间任务 |
| kern | 内核类型 |
| 邮件 | |
| news | 系统更新信息 |
| user | 用户 |
日志级别
| debug | 程序排错信息 |
|---|---|
| info | 程序常规运行信息 |
| notice | 重要信息的普通日志 |
| waring | 程序警告 |
| err | 程序报错 |
| crit | 严重级别会导致系统软件不能正常工作 |
| alert | 系统中立即要更改的信息 |
| emerg | 系统的严重问题日志 |
| none | 不采集 |
5、日志远程同步方法
为了高效率的日志统计及分析,需要将各台主机的日志发送到一台主机上
在日志的发送方 设定
vim /etc/rsyslog.conf
使用udp方式传输日志
在日志的接收方也要进行设定
vim /etc/rsyslog.conf
关闭火墙才可以接收到
systemctl stop firewalld.service
实验
监控接收端的日志
tail -f /var/log/messages
发送端生成日志
接收端接收到日志
6、日志采集格式的设定
设定日志的采集格式,设定配置文件
vim /etc/rsyslog.conf
| WESTOS_FORMAT | 格式名称 |
|---|---|
| %FROMHOST-IP% | 日志来源主机IP |
| %timegenerated% | 日志生成时间 |
| %syslogtag% | 日志生成服务 |
| %msg% | 日志内容 |
| \n | 换行 |
7、手动管理系统时间
改系统时间,首先要把系统的同步时间关掉
systemctl stop chronyd
更改系统时间
timedatectl set-time “时间”
设定时区
查看时区 timedatectl list-timezones
更改时区
timedatectl set-timezone “时区”
调节硬件时间和系统时间同步
timedatectl set-local-rte 1
8、利用时间同步服统一idc机房时间
时间同步服务
服务名称: chronyd.service
配置文件: /etc/chrony.conf
1、时间发送方
设定配置文件,共享时间出去
vim /etc/chrony.conf
关闭火墙
systemctl disable --now firewalld
重启服务
systemctl restart chronyd.service
2、时间同步方
设定配置文件
vim /etc/chrony.conf
重启服务
systemctl restart chronyd.service
查看时间同步
chronyc sources -v
397
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
