系统日志及时间管理

###系统日志####

系统日志是记录系统中硬件，软件和系统问题的信息，还可以监视系统中发生的事件，用户可以通过日志来检查错误发生的原因，或者寻找受到攻击时攻击者留下来的痕迹。系统日志包括系统日志，应用程序日志和安全日志。

一.系统日至默认分类

/var/log/cron                                               ##系统例行性工作调度信息
/var/log/dmesg                                           ##系统开机的时候内核检测过程所产生的各项信息
/var/log/lastlog                                            ##系统上面所有的帐号最近一次登录系统时的相关信息
/var/log/messages                                      ##系统服务及日志，包括服务的信息，报错等（重要）
/var/log/secure                                           ##系统认证信息日志
/var/log/maillog                                          ##系统邮件服务信息
/var/log/boot.log                                          ##系统启动信息

二.系统日志管理

1.rsyslog          ##采集系统产生的日志，但不产生日志

systemctl status rsyslog.service 具体信息

1.syslog：主要登陆系统与网络等服务的信息

syslog的配置文件                /etc/rsyslog.conf
vim /etc/rsyslog.conf                                         ##主配置文件

 

三.服务类型

auth                                              ##与认证有关的机制，例如login，ssh，su等
authpriv                                         ##是ssh，ftp等登陆信息的验证信息
daemon                                        ##与各个服务有关的信息
kern                                             ##内核产生信息的地方
lpr                                                ##打印相关的信息
mail                                             ##与邮件收发有关的信息
news                                           ##与新闻组服务器有关的东西
rsyslog                                        ##就是rsyslogd这个程序本身生成的信息
authpriv                                        ##是ssh，ftp等登陆信息的验证信息
cron                                             ##例行性工作调度等生成信息日志的地方
mark(syslog)-rsyslog                    ##服务内部的信息，时间标识
user                                            ##用户程序产生的相关信息
uucp                                            ##是unix to unix copy，unix主机之间相关的通讯
local                                           ##1～7自定义的日志设备

四.日志级别

debug                                         ##有调试信息的，日志信息最多
info                                             ##一些基本的信息说明
notice                                         ##除了info外还需要注意的一些信息内容
warn（warning）                         ##警示的信息，可能有问题，但还不至于影响到某个服务运行的信息
err（error）                                 ##一些重大的错误信息
crit（critical）                             ##比error还严重的错误信息，临界点的意思，这个错误已经非常严重了
alert                                           ##警告，已经很有问题的等级需要立即修改
emerg（panic）                          ##内核崩溃等严重信息
none                                          ##什么都不记录

##：从上到下，级别从低到高，记录的信息越来越少

五.日志同步

1.systemctl stop firewalld                        ##关闭两台主机的火墙

日志发送方：        vim /etc/rsyslog.conf   
@172.25.254.243                                    ##通过udp协议把日志发送到11主机，@表示ud协议发送，@@表示tcp协议发送

日志接受方:           vim /etc/rsyslog.conf   
15         ModLoad imudp                          ##日志接收插件  
16         UDPServerRun 514                      ##日志接收插件使用端口

测试： 发送方和接收方都清空日志

六.日志采集格式

vim /etc/rsyslog.conf

$template LOGFMT, “%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n”
%timegenerated%                                                    ##显示日志时间
%FROMHOST-IP%                                                  ##显示主机ip
%syslogtag%                                                          ##日志记录目标
%msg%                                                                  ##日志内容
\n                                                                            ##换行

七.systemd-journald服务

服务提供一种改进的日志管理服务，可以收集来自内核、启动过程、标准输出、系统日志及守护进程启动和运行期
间错误的消息，它将这些消息写入到一个结构化事件日志中

journalctl 命令
journalctl                                     ##日志分析命令
journalctl -n 2                              ##查看最近生成的2条日志
journalctl -p err                            ##查看系统报错
journalctl -f                                  ##监控日志
journalctl –since –until                 ##查看某个时间段生成的日志
journalctl -o verbose                    ##查看日志能够使用的条件参数
##_SYSTEMD_UNIT=sshd.service服务名称
##_PID=1182进程pid

journalctl
_UID= //进程uid
_PID= //进程id
_GID= //进程gid
_HOSTNAME= //进程所在主机
_SYSTEMD_UNIT= //服务名称
_COMM= //命令名称

八.systemd-journald管理

默认情况下，systemd日志是不保存在硬盘中的，这意味着系统重启时会被清除，那如果将日志保存
在/var/log/journal目录，这样做的优点是启动后就可以利用历史数据，形成永久日志

mkdir /var/log/journal
chgrp systemd-journal /var/log/journal
chmod 2755 /var/log/journal/
killall -1 systemd-journald
ls /var/log/journal

###时间管理###

1.时间同步    chronyd

1.服务端
yum install chrony -y                                      ##安装服务

vim /etc/chrony.conf                                       ##主配置文件
22 allow 172.25.0.0/24                                   ##允许谁去同步我的时间
28 local stratum 10                                        ##不去同步任何人的时间，时间同步服务器级别

systemctl restart chronyd
systemctl stop firewalld

2.客户端
vim /etc/chrony.conf
server 172.25.254.243 iburst                         ##本机立即同步243主机的时间

systemctl restart chronyd

2.timedatectl命令

timedatectl status                                        ##显示当前时间信息
                set-time                                      ##设定当前时间
                set-timezone                               ##设定当前时区
                set-local-rtc 0|1                            ##设定是否使用utc时间