目录
1. journald
服务名称:systemd-journald.service
日志查看命令:journalctl
默认日志存放路径:/run/log
1.1 journalctl命令的用法
journalctl -n 3 ## 日志的最新3条
journalctl --since "时间点" ## 显示时间点后的日志
journalctl --until "时间点" ## 显示时间点前的日志
journalctl -o ## 设定日志的显示方式
-o short ## 经典模式显示日志,与journalctl -o一样
-o verbose ## 显示日志的全部字节
-o export ## 适合传出和备份的二进制格式
-o json ## js格式显示输出
-p ## 显示制定级别的日志
#0 emerg ## 系统的严重问题日志
#1 alert ## 系统中立即要更改的信息
#2 crit ## 严重级别会导致系统软件不能正常工作
#3 err ## 程序报错
#4 warning ## 程序警告
#5 notice ## 重要信息的普通日志
#6 info ## 普通信息
#7 debug ## 程序排错信息
-F PRIORITY ## 查看可控日志级别
-u sshd ## 指定查看服务
--disk-usage ## 查看日志大小
--vacuum-size=1G ## 设定日志存放大小
--vacuum-time=1W ## 日志在系统中最长存放时间
-f ## 监控日志
journalctl _PID=87 _SYSTEMD_UNIT=systemd-journald.service 通过-o verbose查找信息
1.2 用journald服务永久存放日志
系统默认日志在:/run/log/journal中
默认方式在系统重启后日志会被清理要永久保存日志需要完成以下操作:
1. mkdir /var/log/journal
2. chgrp systemd-journal /var/log/journal
3. chmod 2774 /var/log/journal
4. systemctl restart systemd-journald.service
当服务重启日志存放路径会被制定到:/var/log/journal
可以看到重启后之前的日志还存在
2. rsyslog
服务名称:rsyslog.service
日志存放:
/var/log/message ## 系统服务日志,常规信息,服务报错
/var/log/secure ## 系统认证信息日志
/var/log/maillog ## 系统邮件日志信息
/var/log/cron ## 系统定时任务信息
/var/log/boot.log ## 系统启动日志信息
配置文件:/etc/rsyslog.conf
2.1 自定义日志采集路径
vim /etc/rsyslog.conf
日志类型.日志级别 日志存放路径
*.* /var/log/dsd ## 把系统中所有级别的日志存放到dsd中
*.*;authpriv.none /var/log/dsd ## 把系统中所有级别的日志存放到dsd中,除过authpriv不存放到dsd中
日志类型 日志级别
auth ## 用户认证 debug
authpriv ## 服务认证 info
cron ## 时间任务 notice
kern ## 内核类型 warning
mail ## 邮件 err
news ## 系统更新信息 crit
user ## 用户 alert
emerg
none
2.2 如何更改日志采集格式
$template DSD,"%FROMHOST-IP% %timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n"
# DSD ## 格式名称# %FROMHOST-IP% ## 日志来源主机IP
# %timegenerated% ## 日志生成时间
# %syslogtag% ## 日志生成服务
# %msg% ## 日志内容
# \n ## 换行
a) 定义日志采集格式
b) 设定日志采集格式应用
c) 查看重启前日志信息显示格式,和重启后日志信息显示格式进行对比
2.3 日志的远程同步
rhel7_node1:192.168.43.10 存放日志作为日志接收端,所有人日志都存放到此台主机
rhel8_node1:192.168.43.11 发送日志到rhel7_node1主机中
UDP方式对日志进行同步:
TCP方式对日志进行同步:
实验步骤:
1. 在rhel7中设定接收所有人的日志
vim /etc/rsyslog.conf ## 编辑配置文件
$ModLoad imudp ## 打开日志同步接收插件
$UDPServerRun 514 ## 指定插件使用接口
systemctl restart rsyslog.service ## 重启服务
netstat -antlupe | grep rsyslog ## 查询端口
-antlupe
a ## 表示所有
n ## 表示不做解析,直接通过IP显示
t ## 表示TCP协议
l ## 活跃状态
u ## 表示UDP协议
p ## 启动器名称
e ## 表示显示详细信息
2. 在rhel8中设定将所有日志发送到rhel7中
a) 编辑配置文件
vim /etc/rsyslog.conf ## 编辑配置文件
在这里注意:@表示UDP传输日志,@@表示TCP传输日志,@192.168.43.10表示把本机日志用UDP的传输方式发送到192.168.43.10主机;
b) 清空日志,重启服务
c) 生成日志
可以很明显看到,我们已经成功生成了日志,接下来我们进入到rhel7中查看是否接收,但是出乎意料,并没有接收到,这是为什么呢?
d) 关闭防火墙
e) 大功告成
3. timedatectl
系统时间设定:timedatectl set-time "2020-02-13 20:10"
系统时区设定:timedatectl set-timezone "Asia/shanghai1"
设定系统时间计算方式:timedatectl set-local-rtc 0 | 1 0表示使用utc时间计算方式;1表示使用普通时间计算方式
显示系统所有时区:timedatectl list-timezones
时间模式设定
vim /etc/adjtime
4. 时间同步服务
服务名称:chronyd.service
配置文件:/etc/chrony.conf
rhel7中:
修改配置文件信息:
1. 允许192.168.43.0网段主机同步时间:allow 192.168.43.0/24
2. 开启时间同步服务器功能并设定级别为10:local stratum 10
重启服务,关闭防火墙
rhel8中:
配置文件:/etc/chrony.conf
修改配置文件:
pool 192.168.43.10 iburst
使用chronyc命令查看时间效果:
chronyc sources -v