系统日志
1.rsyslog
此服务时用来采集系统日志的,不产生日志,只是起到采集作用
2, rsys log的管理
/var/log/messages 服务信息日志
/var/log/secure 系统登陆日志
/var/log/cron 定时任务日志
/var/log/maillog 邮件日志
/var/log/boot.log 系统后动日志
auth pam产生的日志
authprivssh,ftp 等登录信息的验证信息
cron 时间任务相关
kern 内核
lpr 打印
mail 邮件
mark(syslog)-rsyslog 服务内部的信息,时间标识
news 新闻组
user 用户程序产生的相关信息
uucp unix nx copy,unix主机之间相关的通讯
local 1~7 自定义的日志设备
3.日志级别分为
debug 有调式信息的,日志信息最多
info 一般信息的日志,最常用
notice 最具有重要性的普通条件的信息
warning 警告级别
err 错误级别,阻止某个功能或者模块不能正常工作的信息
crit 严重级别,阻止整个系统或者整个软件不能正常工作的信息
emerg 需要立刻修改的信息##内核崩溃等严重信息
none 什么都不记录
注意:
从上到下,级别从低到高,记录的信息越来越少
详细的可以查看手册:man3 sys log
4.日志的远程同步
1)在日志的发送方执行命令:
vim /etc/rsyslog.conf
在第55行输入:
*.* @172.25.254.228 @表示upd协议发送,@@表示tcp协议发送
再执行命令重启:
systemctl restart rsyslog
2)在日志的接收方执行命令:
vim /etc/rsyslog.conf
时在第15、16行取消掉“#”符号
15 $ModLoad imudp 打开日志接收模块
16 $UDPServerRUN 514 开启日志接收端口
再执行命令:
systemctl restart rsyslog 重启
systemctl stop firewalld 关闭防火墙
systemctl disable firewalld 将防火墙设置为开机不自启动
最后进行测试:
在发送方和接收方均执行:
> /var/log/messages 清空日志文件
在日志的发送方执行:
logger test
cat /var/log/messages 查看日志已经生成
在日志的接收方进行查看
cat /var/log/messages
1
2
3
4
5
6
7
8
9
5.日志采集格式的设定
执行命令:
vim /etc/rsyslog.conf
1
进入编辑界面后,添加采集格式:
47 stemplate LEE, "%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n"
以上信息分别代表:
%timegenerated% 显示日志时间
%FROMHOST-IP% 显示主机ip
%syslogtag% 日志记录目标
%msg% 日志内容
\n 换行
在指定的日志中采用LEE格式:
55 *.* /var/log/westos;LEE
修改系统默认日志采集格式为LEE:
$ActionFileDefaultTemplate LEE
1
查看指定日志:
cat /var/log/westos
6.时间同步
1)服务名称
chronyd
2)在服务端:
执行命令:
vim /etc/chrony.conf
修改22、29行命令:
22 alow 172.25.254.0/24 允许哪些客户端来同步本机时间
29 local stratum 10 本机不同步任何主机的时间,本机作为时间源
重启:
systemctl restart chronyd
3)在客户端:
执行命令:
vim /etc/chrony.conf
修改信息:
server 172.25.254.228 iburst
重启:
systemctl restart chronyd
进行测试:
在客户端执行命令:
chronyc source -v
7.timedatectl命令
管理系统时间
status 显示当前时间信息
set-time 设定当前时间
set- timezone 设定当前时区
et- local-rtc 0|1 设定是否使用utc时间
st-tamezone 查看支持的所有时区
8.journalctl
-n 3i 日志查看工昊
-p erri- 查看最近3条日志##查看错误日志
-o verbosei 查看日志的详细参数
–sincei 查看从什么时间开始的日志
–until 查看到什么时间为止的日志