1.rsyslog
Table of Contents
此服务用来 采集系统日志的,他不产生日志,只是起到采集作用
1.1rsyslog的管理
/var/log/messages | 服务信息日志 |
/var/log/secure | 系统登陆日志 |
/var/log/cron | 定时任务日志 |
/var/log/maillog | 邮件日志 |
/var/log/boot.log | 系统启动日志 |
指定日志采集路径
什么类型的日志.什么级别的日志 /var/log/file 日志采集规则
日志类型如下:
auth | pam产生的日志 |
authpriv | ssh,ftp等登陆信息的验证信息 |
cron | 时间任务相关 |
kern | 内核 |
lpr | 打印 |
邮件 | |
mark(syslog)-rsyslog | 服务内部的信息,时间标识 |
news | 新闻组 |
user | 用户程序产生的相关信息 |
uucp | unix to unix copy,unix主机之间相关的通讯 |
日志级别分为:
debug | 有调制信息的,日志信息最多 |
info | 一般信息的日志,最常用 |
notice | 最具有重要性的普通条件的信息 |
warning | 警告级别 |
err | 错误级别,组织某个功能或者模块不能正常工作的信息 |
crit | 严重级别,阻止整个系统或者整个软件不能正常工作的信息 |
alert | 需要立即修改的信息 |
emerg | 内核崩溃等严重信息 |
none | 什么都不记录 |
注意:从上到下,级别从低到高,记录的信息越来越少,详细可以查看man 3 syslog
操作示例:
把系统中所有日志采集到/var/log/westos
2.日志的远程传输
在日志发送方:
vim /etc/rsyslog.conf
*.* @172.25.254.200 @表示udp协议发送,@@表示tcp协议发送
systemctl restart rsyslog
在日志接收方:
vim /etc/rsyslog.conf
15 $ModLoad imupt 日志接受模块
16 $UDPServerRun 514 开启接受端口
systemctl restart rsyslog
systemctl stop firewalld
systemctl disable filewalld
测试:
在发送方和接受方都清空日志文件:
> /var/log/messages
> /etc/rc.d/rc.local 清空此文件得到最新的检测进程只用一条
在日志的发送方
logger test
cat /var/log/messages
在日志接受方查看
cat /var/log/messages
3.日志采集格式的设定
vim /etc/rsyslog.conf
$tempplate LOGFMT,"%timegenerated% %FROMHOST-IP% %syslogtag% %msg% \n"
%timegenerated% | 显示时间日志 |
%FROMHOST-IP% | 显示主机ip |
%syslogtag% | 日志记录目标 |
%msg% | 日志内容 |
\n | 换行 |
规定文件查看:
所有文件以此种方式查看:
我们如果要求所有的采集信息都用此类方式则需要以下操作
4.时间同步服务 chrony
在服务端:
vim /etc/chrony.conf
22 allow 172.25.254.0/24
29 local stratum 10
systemctl restart chronyd
在客户端:
vim /etc/chrony.conf
server 172.25.254.224 iburst
systemctl restart chronyd
测试:
chronyc sources -v
5.timedatectl 命令
timedatectl status 显示当前时间信息
timedatectl set-time 设置当前时间
timedatectl set-timezone 设定当前时间
timedatectl set-local-rtc 0|1 设定是否使用utc时间
timedatectl list-timezone 查看支持的所有时区
1)
2)
6.journalctl
journalctl -n 3 查看最近三条日志
journalctl -p err 查看错误日志
journalctl -o verbous 查看日志的详细参数
journalctl --since "12:10:10" --until "12:11:00" 查看这段时间内的日志