Linux日志采集格式设定&journal内核日志管理

最新推荐文章于 2024-10-12 08:55:46 发布

dddxxy

最新推荐文章于 2024-10-12 08:55:46 发布

阅读量628

点赞数

分类专栏： linux爱好者文章标签： Linux 日志采集 journal 内核日志管理日志采集格式设定

本文链接：https://blog.csdn.net/dddxxy/article/details/89336948

版权

linux爱好者专栏收录该内容

72 篇文章 4 订阅

订阅专栏

$\color{blue}{一：日志采集格式的设定：}$

在查看系统日志的时候，每个人的习惯不同，想要看到的内容不同，因此希望可以只看到自己想要的部分，比如只想看到时间+内容，比如只想看到来源IP+时间。所以我们对日志采集格式也可以有一个设定。

指令如下：

vim /etc/rsyslog.conf  ###编辑日志配置文件

systemctl restart rsyslog  ###重起日志服务

cat /var/log/日志目录名   ###查看更改后的日志

基本的指令就只有以上三条。我们主要需要知道的是应该在日志配置文件中写入什么，或者更改什么。

认识几条常用的日志显示格式

%timegenerated         ###显示日志时间
%FROMHOST-IP%          ###显示主机ip
%syslogtag%            ###日志记录目标
%msg%                  ###日志内容
\n                     ###换行

在vim /etc/rsyslog.conf后写入内容：

$template name, "%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n " ###日志显示的格式

 *.*                /var/log/file:name    ###日志以name格式存入/var/log/file目录中
 
更改：$ActionFileDefaulTemplate name 修改系统默认日志为name格式

以上内容就是我们在修改日志采集格式的设定中会用到的全部命令，下面进行演示。

1.编辑配置文件，更改系统默认日志存储格式，写入日志格式RZ，将日志以RZ的格式，存入目录rizhi中。
在这里插入图片描述

2.重起日志服务，查看rizhi目录，更改完成。【如果不需要查看全部的日志，可以使用tail指令只查看指定数目条】

$\color{blue}{二：journal内核日志管理：}$

内核中的日志是不会保存的，在每一次断电后都会清空。那么我们想要让日志保存下来，就需要另外指定硬盘将其日志进行存储。

先来认识几条指令：

journalctl          ###查看本次开机后系统中的日志          
journalctl -n 3     ###查看最近3条日志
journalctl -p err   ###查看错误的日志
journalctl --since  ###查看从什么时间开始的日志
journalctl --until  ###查看到什么时间截止的日志
举例：journalctl --since "2019-05-05 10:10:10" --until  "2019-06-06 12:12:12"

演示：
在这里插入图片描述

保留journal日志：

mkdir /var/log/journal                ###创建存储日志的目录
chgrp systemd-journal /var/log/journal/   ###更改日志目录的所属组位systemd-journal
chmod g+s /var/log/journal/               ###使该目录下的文件所属组都为目录所属组
killall -1 systemd-journald               ###不关机重新加载配置   
reboot                    ###断电重起
journalctl                ###查看日志，发现可以看到kill重新加载之前时间的日志

演示：

在这里插入图片描述
reboot之后：

在这里插入图片描述
更改成功，journal日志保存到了硬盘中。

                                大大的小小阳