认证授权,审计
rsyslog.service只采集不生成,当程序关闭,不采集,程序开启,立即采集没有采集的日志,
第一步,先清空日志,查看日志,停掉rsyslog.service服务,
第二步,重启网络服务,查看有无日志生成,
第三步,启动rsyslog.service服务,再查看日志发现,出现新的日志。
设置日志采集文件
日志类型.日志级别 >>/var/log/日志文件点(自定义存放地)
日志同步
内网传输用udp,外网传输用tcp
日志发送方
vim /etc/rsyslog.conf
修改成
日志类型.日志级别 >>@接收方ip @表示udp协议@@表示tcp协议
systemctl restart rsyslog
接收方
vim /etc/rsyslog.conf
修改15 16行udp协议的使用
systemctl restart rsyslog
systemctl stop firewalld ##关闭火墙
测试使用logger+测试
测试前清空日志
>/var/log/messages
查看使用 cat /var/log/messages
日志采集格式设定
vim /etc/rsyslog.conf
$template 设定名字(设定的名字需要全部大写),“%%”在冒号中写入,设定在两个%中写入。
FROMHOST-IP ##显示ip
timegenerated ##显示时间
syslogtag ##日志目标
msg ##日志内容
\n ##换行符
设定完成后需要在
日志类型.日志级别 >>/var/log/日志文件;(这里写入设定的名字)
systemctl restart rsyslog##重启服务,查看日志,格式改变
如果想让所有的格式都改变,
$ActionFileDefaultTemplate (这里写上设定的名字),所有的都改了
同步时间
chronyd
在服务端:设置时间源
vim /etc/chrony.conf
在22行和29行更改 设置allow ip号/协议
重启服务
systemctl restart chronyd
在客户端:接收时间源
vim /etc/chrony.conf
删除多余server
改成 server 服务端ip iburst
重启服务
systemctl restart chronyd
查看修改是否完成
chronyc sources -v
ip前有个^*的符号就说明修改完成,使用date查看即可。
时间更改
查看时间的所有数据用timedatectl
修改里面的内容,
改时区: 查看有哪些时区 timedatectl list-timezones
timedatectl set-time +地点##(只能使用列表中有的)
使用本地时间 timedatectl set-local-rtc (1/0)1
,将本地时间同步到芯片,0将世界时间同步到芯片。
联网查看时间 timedatectl set-ntp(1/0)1
,自动同步网络时间,0不同步
查看内存日志
journalctl
输入journalctl直接回车可以看到所有内存日志
-n 数字 查看最近多少条的日志
-p 关键字 (-p err 查看错误日志)
-o verbose看日志的详细参数,需要锁定的话先找到pid 再看comm来锁定
例:
journalctl _PID=1665 _COMM=sshd
--since 从什么时候开始的日志 含开始时间
--until 从什么时候结束的日志 不含结束时间
journalctl --since 14:39:33 --until 14:39:35
将journalctl里的日志导出,保存
journalctl里的日志属于内存,不保存,若关机后所有日志清零,
先建立文件
`mkdir /var/log/journal`
修改所属组
chgrp systemd-journal /var/log/journal
修改组权限,强制位,将目录下的文件全部归systemd-journal组所有,
chmod g+s /var/log/journal/
重启systemd-journald服务
killall -1 systemd-journald
关机后查看有无日志保存,若有及正确导出保存。
若不想保存 将/var/log/journal删除,重启systemd-journald服务
killall -1 systemd-journald
重启电脑ok。