2.3 Linux系统中的日志管理

journald(systemd-journald.service)

RHEL8加入了一个日志工具journald
默认日志存放地址/run/log/journal/22992d92cf33452b80a53fcd57ebee16/system.journal （journald将收集到的日志存放在此）
systemd-journald负责收集日志
journalctl命令用于查看日志

journalctl -o short|verbose|export|json		#修改日志显示格式
journalctl -p 0|1|2|3|4|5|6|7				#查看不同等级的日志
journalctl --disk-usage						#查看日志大小
journalctl --vacuum-size=2G					#设置日志可存放大小
journalctl -f								#监控日志

使用journald服务永久存放日志

系统中默认日志存放路径：/run/log/journal

默认方式在系统重启后日志会被清理，执行以下命令可永久保存日志

mkdir /var/log/journal						#建立一个日至存放目录
chgrp systemd-journal /var/log/journal		#将目录组权限给journald服务
systemctl restart systemd-journald			#重启journald服务
*服务重启后日志存放路径就会被改变到：/var/log/journal

rsyslog(rayslog.service)

日志存放在/var/log下的不同文件夹（message|secure|maillog|cron|boot.log）下

配置文件：/etc/rsyslog.conf

自定义日志采集路径

通过修改配置文件，可以实现自定义日志采集路径：

vim /etc/rsyslog.conf						#编辑rsyslog配置文件

	*.*				/var/log/song
日志类型.日志级别		日志存放路径
#例如：
*.*;authpriv.none	/var/log/song			#将系统中除了认证服务外的其它所有日志存放到/var/log/song中

#日志类型：
auth|authpriv|cron|kern|mail|news|user
#日志级别：
debug|info|notice|warning|err|crit|alert|emerg|none

日志统一管理

为了方便管理日志，一般将所有设备的日志信息收集到一台设备中，所以其他设备需要在生成日志的同时将日志copy一份发送到日志管理设备

发送方操作：

vim /etc/rsyslog.conf						#修改配置文件将日志发送至目标机
**************************************************************
*.*											@172.25.254.124
**************************************************************
systemctl restart rsyslog.service			#修改完成重启rsyslog服务

接收方操作：

vim /etc/rsyslog.conf						#修改配置文件将日志接收至本机
**************************************************************
module(load="imudp")						#打开日志接收模块
input(type="imudp" port="514")				#指定模块使用的接口
**************************************************************
systemctl restart rsyslog.service			#修改完成重启rsyslog服务

端口查询：

[root@song_a ~]#netstat -antlupe | grep rsyslog

自定义日志格式

通过修改rsyslog的配置文件可以自定义收集的日志格式：

vim /etc/rsyslog.conf
**************************************************************
#在第28行添加以下内容
$template WESTOS,"%timegenerated% %FROMEHOST-IP% %syslogtag% %msg%\n"
#在日志规则配置中使用此格式
*.info;mail.none;authpriv.none;cron.none	/var/log/message;WESTOS
*.*;authpriv.none							/var/log/westos
**************************************************************

若要将默认的日志格式修改为刚设置的日志格式，同样修改配置文件即可：

vim /etc/rsyslog.conf
**************************************************************
#修改第33行：
module(load="builtin:omfile" Template="WESTOS")

timedatectl

#timedatectl用于修改系统时间时区相关设定
timedatectl 								#查看系统时间相关信息
timedatectl status							#查看系统时间相关信息
timedatectl set-local-rtc 1|0				#设定系统时间计算方式RTC|UTC
timedatectl list-timezones					#列出所有时区
timedatectl set-timezone "Asia/Tokyo"		#设定时区为东京
timedatectl set-time "11:11:11"				#设置时间为11：11：11（提示无法修改）
**************************************************************
#无法修改是因为时间同步服务未关闭
systemctl stop chronyd.service				#关闭时间同步服务
**************************************************************
timedatectl set-time "11:11:11"				#设置时间为11：11：11（修改成功）

时间同步（chronyd.service）

chrony配置文件：/etc/chrony.conf

时间同步想要实现，必须要有一个同步源，其他客户端才能实现时间同步

时间同步设置一样是通过修改配置文件完成时间源和其他客户端的同步设置

#时间源设置：
vim /etc/chrony.conf
*************************************************************
 22 # Allow NTP client access from local network.
 23 allow 0.0.0.0/0							#0.0.0.0/0表示允许所有客户机同步
 24 
 25 # Serve time even if not synchronized to a time source.
 26 local stratum 10
*************************************************************
#修改完成后重启chronyd.service生效
systemctl restart chronyd.service

#客户端设置：
vim /etc/chrony.conf
*************************************************************
  1 # Use public servers from the pool.ntp.org project.
  2 # Please consider joining the pool (http://www.pool.ntp.org/join.html).
  3 pool 172.25.254.124 iburst
*************************************************************
#修改完成后重启chronyd.service生效
systemctl restart chronyd.service

若配置完成后时间同步仍不生效，关闭防火墙即可生效

systemctl stop firewalld					#关闭防火墙

可通过以下命令查看同步状态

chronyc sources -v							#查看时间同步状态