1. 日志的格式和级别
auth #用户登陆日志
authpriv #服务认证日志
kern #内核日志
cron #定时任务日志
lpr #打印机日志
mail #邮件日志
news #新闻
user #用户相关程序日志
local 1-7 #用户自定义日志
debug #系统调试信息
info #常规信息
warning #警告信息
err #报错(级别低,阻止了某个功能不能正常工作)
crit #报错(级别高,阻止了整个软件或系统不能正常工作)
alert #需要立即修改的信息)
emerg #内核崩溃
none #不采集任何日志信息
系统常用日志
/ var/log/message #所有日志级别的常规信息(不包含邮件,服务认证,定时认证)
2. 用别的主机查看本机日志:
编辑文件/etc/rsyslog.conf 在空白行插入内容:*.* /var/log/westos 意思为将本机产生的日志保存到/var/log/westos文件中
重启rsyslog.service服务:
用设备node2连接到本机,就可以在/var/log/westos中查看到node1设备产生的日志。该操作用来进行日志的分享
3.远程发送日志:
同样是编辑文件/etc/var/rsyslog.conf ,在空白行插入*.* @172.25.254.245 意思为将本机的日志以UDP格式发送给ip为172.25.254.245这台主机
重启rsyslog.service服务:
在接收端编辑文件rsyslog.conf,在15,16行取消注释,用来开启日志的接收:
清空原有的日志并关闭防火墙,在日志发送方重启一项服务用来产生一个新的日志,在接收方查看/var/log/messages文件:
可以看到日志的内容:
4.指定格式接收日志:
在日志的接收方编辑文件rsyslog.conf,插入下图红色代码行内容,意思为按照指定格式接收日志,其中:
%timegenerated% #日志生成时间
%FORMHOST-TP% #日志来源主机的IP
%syslogtag% #日志内容
\n #换行
重启rsyslog.server,可以查看到日志以指定格式显示,即时间,来源主机ip,日志内容:
5. journal查看日志:
journalctl #日志查看工具,直接查看内存中的日志
journalctl -n 3 #最新三条日志
journalctl -p err #错误日志
journalctl -f #用户ctrl+c结束监控
journalctl --since --until #从某时到某时的日志
journalctl -o verbose #查看日志详细参数-PID=651 journalctl _PID=651
查看最新3条日志和查看错误日志:
查看指定时间内的日志:
6. 时间同步:
将node2主机的时间修改,用来同步node1主机的时间时查看效果:
在node1主机端,编辑文件/etc/chrony.conf,在第22行编辑内容allow 172.25.254.0/24,意思是允许ip以172.25.254开头的主机进行对本机的访问,在第29行取消注释,意思是命令级别为10:
重启chrony.service:
在node2端编辑/etc/chrony.conf,在第3行编辑sever 172.25.254.245 iburst:
在node1端关闭防火墙,用来允许node2端的访问,在node2端输入指令chronyc sources -v,可以看到时间同步成功: