一、系统日志默认分类
/var/log/messages ##系统服务及日志,包括服务的信息,报错等等/var/log/secure ##系统认证信息日志
/var/log/maillog ##系统邮件服务信息
/var/log/cron ##系统定时任务信息
/var/log/boot.log ##系统启动信息
二、日志管理服务rsyslog
vim /etc/rsyslog.conf ##系统日志配置文件
日志设备(类型).(连接符号)日志级别 日志处理方式(action)日志管理服务有两个基本作用
(1)负责采集日志和分类存放日志(2)日志分类
systemctl restart rsyslog ##重启系统日志服务
1、日志设备(类型).(连接符号)日志级别
(1)日志设备(日志类型)
auth ##pam产生的日志authpriv ##ssh,ftp等登录信息的验证信息
cron ##时间任务相关
kern ##内核
lpr ##打印
mail ##邮件
mark(syslog)–rsyslog ##服务内部的信息,时间标识
news ##新闻组
user ##用户程序产生的相关信息
uucp ##unix to unix copy, unix主机之间相关的通讯
local 1~7 ##自定义的日志设备
(2)日志级别
(7)debug ##调试级。有调式信息的,日志信息最多(6)info ##通知级。一般信息的日志,最常用
(5)notice ## 注意级。最具有重要性的普通条件的信息
(4)warning ##警告级。
(3)err ##错误级。阻止某个功能或者模块不能正常工作的信息
(2)crit ##临界级。严重级别,阻止整个系统或者整个软件不能正常工作的信息
(1)alert ##警戒级。需要立刻修改的信息
(0)emerg ##致命级。内核崩溃等严重信息
none ##什么都不记录
注意:从上到下,级别从低到高,记录的信息越来越少
详细的可以查看手册: man 3 syslog
(3)连接符号
.xxx ##表示大于等于xxx级别的信息,例如.err 表示34567所有级别的日志
.=xxx ##表示等于xxx级别的信息.!xxx ##表示在xxx之外的等级的信息
三、日志处理
1. 记录到普通文件或设备文件
*.* /var/log/file.log ##绝对路径*.* /dev/pts/0
测试:
logger -p local3.info ‘KadeFor is testing the rsyslog and logger‘ ## logger 命令用于产生日志
2. 发送给用户(需要在线才能收到)
*.* root*.* root,kadefor,westos ## 使用,号分隔多个用户
*.* * ## *号表示所有在线用户
3. 忽略,丢弃
l ocal3.* ~ ## 忽略所有local3类型的所有级别的日志4. 执行脚本
local3.* ^/tmp/a.sh
# ^号后跟可执行脚本或程序的绝对路径
# 日志内容可以作为脚本的第一个参数.# 可用来触发报警
四、日志同步
再配置双方的配置文件
日志发送方
vim /etc/rsyslog.conf
通过UDP协议把日志发送到11主机,@表示UDP,@@表示TCP
日志接受方
vim /etc/rsyslog.conf
如果是UDP就去掉15,16行的“#”,TCP去掉19,20行的。
最后再重启双方的日志服务
测试;
发送方重启sshd服务
日志接收方执行
> /var/log/messages##清空日志
tail -f /var/log/message
五、日志分析工具journal
1、journald
-n 5 ##显示最新5条 ,如果有时间限制,就如上图所示,显示前5条。
-p err ##显示报错
--since --until ## 从什么时间到什么时间的日志
-f ##监控日志
-o verbose ##显示日志能够使用的详细进程参数
2、systemd-journald服务
默认情况下,systemd日志保存在/run/log/journal中,系统重启时这些日志会被删除。
如果将日志存在/var/log/journal中,就会永久保存。
实现步骤:
新建日志目录
更改目录权限
或者
chown root.systemd-journal /var/log/journalchmod 2755 /var/log/journal
重启日志服务
目录下会产生日志文件
六、时间同步
1、服务端
yum install chrony -y ##安装服务vim /etc/chrony.conf##主配置文件
##允许谁去同步我的时间
##删除30行“#”,表示不去同步任何人的时间,自己作为时间同步服务器
2、客户端
vim /etc/chrony.confserver 服务端主机ip iburst
3、双方重启时间同步服务,关闭双方防火墙
systemctl restart chronydsystemctl stop firewalld
测试: chronyc sources -v
七、timedatectl
timedatectl status##显示当前时间信息
timedatectlset-time##设定当前时间
timedatectl list-timezone##查看所有时区
timedatectlset-timezone##设定当前时区
timedatectlset-local-rtc 0|1 ##设定是否使用utc时间(本地时间)