linux学习 lesson9日志

一、什么是日志

日志文件是用于记录系统操作事件的记录文件或文件集合，可分为事件日志和消息日志。具有处理历史数据、诊断问题的追踪以及理解系统的活动等重要作用。
在日常运维中日志是不可或缺且非常重要的一环。

二、日志的查看

日志储存在位置在/var/log 下，不同的文件承载着不同的日志信息。举例如下：

/var/log/message            ##系统启动后的信息和错误日志，是Red Hat Linux中最常用的日志之一   
/var/log/secure             ##与安全相关的日志信息   
/var/log/maillog            ##与邮件相关的日志信息   
/var/log/cron               ##与定时任务相关的日志信息   
/var/log/spooler            ##与UUCP和news设备相关的日志信息   在这里插入图片描述
/var/log/boot.log           ##守护进程启动和停止相关的日志消息 

日志的内容可能是很多的，复杂的。如果只用vi来查看难免不便。那么我们在查看日志时可以用到前面课程学到的tail cat等命令查看。

三、rsyslog日志服务器

rsyslog用来采集和存放日志。rsyslog服务的主配置文件为 /etc/rsyslog.conf。
vim /etc/rsyslog.conf 查看日志权限

黑色行是各个日志的权限
以下是日志的采集的分类与级别：

日志类型：

**

auth 	                           ##pam产生的日志 	
authpriv                           ##ssh，ftp等登陆信息的验证信息
cron                               ##时间人物相关 	
kern 	                           ##内核 	
lpr 	                           ##打印 	
mail 	                           ##邮件 	
mark(syslog)-rsyslog               ##服务内部的信息，时间标识 	
news 	                           ##新闻组 	
user 	                           ##用户程序产生的相关信息 	
uucp 	                           ##unix to unix copy, unix主机之间相关的通讯 	  	
local  1~7 	                       ##自定义的日志设备

**

日志级别：

debug 	                           ##有调试信息的，日志信息量最多
info 	                           ##一般信息的日志，最常用
notice                             ##最具有重要行的普通条件的信息
warning 	                       ##警告级别
err 	                           ##错误级别，阻止某个功能或者模块不能正常工作的信息
crit 	                           ##严重级别，阻止整个系统或整个软件不能正常工作的信息
alert 	                           ##需要立即修改信息
emerg 	                           ##内核崩溃等严重信息
none 	                           ###什么都不记录

注意：从上到下，级别从高到低，记录的信息越来越少。

添加一个日志文件

step1
vim /etc/rsyslog.conf

在#### RULES ####下任意位置编辑日志权限 地址后输入文件名kris。自动创建文件
step2
：wq保存退出
重启服务：

systemctl restart rsyslog.service

step3
查看日志

日志采集格式的设定

vim /etc/rsyslog.conf

$template LOGFMT, “%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n”

%timegenerated% 显示日志时间

%FROMHOST-IP% 显示主机ip

%syslogtag% 日志记录目标

%msg% 日志内容

\n 换行

四、远程日志同步

远程日志同步功能是为了将多个用户的日志发送到同一台主机的操作。
此次要做的是两台主机间的日志同步，用到两个虚拟机之间传送。

1.准备工作

首先要做的是两台主机的配置更改。发送方：

vim  /etc/rsyslog.conf 

在光标所在位置插入了要发送给谁。

接收方：

vim   /etc/rsyslog.conf

15   $ModLoad    imudp                 ##日志接收模式块
16   $UDPServerRun    514              ##开启接收端口

systemctl   restart  rsyslog           ##重启服务

systemctl    stop   firewalld         ##关闭防火墙

去除#号让代码生效。

五、时间同步实验

服务端

step1：

 vim   /etc/chrony.conf
22  allow  172.25.254.0/24                  ##允许同网段客户端同步本机时间 
    
29   local    stratum    10                     ##本机作为时间源

step2

systemctl   restart   chronyd           

timedatectl     set-timezone    Asia/Shanghai            更改当前时区为东8区

客户端

vim /etc/chrony.conf
server 172.25.254.111 iburst 本机立即同步111主机的时间

**systemctl   restart   chronyd 
timedatectl     set-timezone    Asia/Shanghai       更改当前时区为东8区
chronyc sources -v 察看是否链接成功**

                                 set-time                                    设定当前时间

                                 set-timezone                            设置当前时区

                                 set-local-rtc    0  |  1                 设定是否使用utc时间

                                 list-timezone                             查看支持的所有时区

日志的查看工具

journalctl

                    -n   3                        查看最近3条日志

                   -p    err                     查看错误日志

                   -o    verbose            查看日志的详细参数

                   --since                      查看从什么时间开始的日志

                   -- until                        查看到什么时间为止的日志