一.日志文件所需相关服务与进程
1.日志采集规则
* . * 文件名称
日志类型.日志级别 日志存放文件
2.日志类型
auth:用户登陆日志(pam产生日志)
authpriv :服务认证日志(sshd认证)
kern:内核日志
cron :定时任务日志
lpr :打印机日志
mail :邮件日志
news :新闻
user :用户相关日志
local 1-7: 用户自定义日志
3.日志类型
debug #系统调试信息
info #常规信息
warning #警告信息
err #报错(级别低,阻止了某个功能不能正常工作)
crit #报错(级别高,阻止了整个软件或整个系统不能正常工作)
alert #需要立即修改信息
emerg #内核崩溃
none #不采集任何日志信息
auth.debug ##用户登陆日志的系统调式信息
auth.* ##用户登陆日志的所有信息
*.* ##所有日志里的所有级别
二.系统常用日志
/var/log/messages #所有日志级别的常规信息(不包含邮件,服务认证,定时服务)
/var/log/maillog #邮件日志
/var/log/secure #服务认证日志
/var/log/cron #定时任务日志
三.将日志内容存在内存
[root@node1 ~]# vim /etc/rsyslog.conf ##更改rsyslog的配置文件,以不同的方式采集。目的:判断一些服务的健康状况。
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none /var/log/messages
*.* /var/log/linux##将所有日志里的所有级别放到linux文件中。
[root@node1 ~]# ls /var/log/linux
ls: cannot access /var/log/linux: No such file or directory
[root@node1 ~]# systemctl restart rsyslog.service
[root@node1 ~]# cat /var/log/linux
四.日志远程同步
TCP :当客户和服务器彼此交换数据前,需要先在双方建立一个TCP连接,之后才能传输数据。
UPD:它只是把应用程序传给ip层的数据发送出去,但并不能保证他们能到达目的地。
1.在日志发送方
vim /etc/rsyslog.conf
*.* @172.25.254.216 #日志接收方
systemctl restart rsyslog
2.在日志接收方
vim /etc/rsyslog.conf
15 $ModLoad imudp
16 $UDPServerRun 514
systemctl restart rsyslog
systemctl stop firewalld
systemctl disable firewalld ##将火墙持续关闭
##将文件清空后systemctl restart rsyslog将还会出现之前采集的日志
五.定义日志采集格式
vim /etc/rsyslog.conf
$template 名称 ,“日志采集格式”
$template westos,"%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n"
%timegenerated% ##日志生成时间
%FORMHOST-IP% ##日志来源主机IP
%syslogtag% ##日志生成程序
%$msg% ##日志内容
%\n% ##换行
六.systemd-journald服务
journalctl ##日志查看工具,直接查看内存中的日志
journalctl -n 3 ##查看最近生成的3条日志
journalctl -p err##查看系统报错
journalctl -f 用户ctrl+c结束监控
journalctl --since --until ##查看某个时间段生成的日志
journalctl -o verbose ##查看日志详细参数
七.systemd-journald管理
1.默认此程序只负责对日志进行查看而不对日志进行保存和采集,那么关机后在开机,对日志进行查看,只能查看到开机后的日志,系统之前的日志因为保存在内存中的,所以关机后就被清空了,那么在开机时用journalctl看不到。
2.让systemd-journal保存日志到硬盘中
mkdir /var/log/journal
chgrp systemd-journal ##在之前搜索组ps ax -o group,comm| grey systemd-journal
chmod g+s /var/log/journal
测试:
journalctl
date
reboot
journalctl
八.时间同步
在服务器端共享时间
vim /etc/chrony.conf
29 local stratum 10 #开启时间共享功能并设定共享级别
#这个参数开启后本机不去同步别人的时间到本机
systemctl restart chronyd
在客户端:
vim /etc/chrony.conf
server 172.25.254.116 iburst
systemctl restart chronyd
chronyc sources -v
九.timedatectl命令
timedatectl list-timezones ##显示所有地区时间
timedatectl set-timezone Asia/Shanghai##设置为上海时间
timedatectl status ##显示当前时间
timedatectl set-local-rtc 0|1 ##设定是否使用utc时间
十.定时任务at
watch -n -1 “ls /mnt/” ##监控命令
at time
at -l ##查看命令执行时间
at -c 3 ##查看命令
at -r 3 ##删除命令