###系统日志####
系统日志是记录系统中硬件,软件和系统问题的信息,还可以监视系统中发生的事件,用户可以通过日志来检查错误发生的原因,或者寻找受到攻击时攻击者留下来的痕迹。系统日志包括系统日志,应用程序日志和安全日志。
一.系统日至默认分类
/var/log/cron ##系统例行性工作调度信息
/var/log/dmesg ##系统开机的时候内核检测过程所产生的各项信息
/var/log/lastlog ##系统上面所有的帐号最近一次登录系统时的相关信息
/var/log/messages ##系统服务及日志,包括服务的信息,报错等(重要)
/var/log/secure ##系统认证信息日志
/var/log/maillog ##系统邮件服务信息
/var/log/boot.log ##系统启动信息
二.系统日志管理
1.rsyslog ##采集系统产生的日志,但不产生日志
systemctl status rsyslog.service 具体信息
syslog的配置文件 /etc/rsyslog.conf
vim /etc/rsyslog.conf ##主配置文件
三.服务类型
auth ##与认证有关的机制,例如login,ssh,su等
authpriv ##是ssh,ftp等登陆信息的验证信息
daemon ##与各个服务有关的信息
kern ##内核产生信息的地方
lpr ##打印相关的信息
mail ##与邮件收发有关的信息
news ##与新闻组服务器有关的东西
rsyslog ##就是rsyslogd这个程序本身生成的信息
authpriv ##是ssh,ftp等登陆信息的验证信息
cron ##例行性工作调度等生成信息日志的地方
mark(syslog)-rsyslog ##服务内部的信息,时间标识
user ##用户程序产生的相关信息
uucp ##是unix to unix copy,unix主机之间相关的通讯
local ##1~7自定义的日志设备
四.日志级别
debug ##有调试信息的,日志信息最多
info ##一些基本的信息说明
notice ##除了info外还需要注意的一些信息内容
warn(warning) ##警示的信息,可能有问题,但还不至于影响到某个服务运行的信息
err(error) ##一些重大的错误信息
crit(critical) ##比error还严重的错误信息,临界点的意思,这个错误已经非常严重了
alert ##警告,已经很有问题的等级需要立即修改
emerg(panic) ##内核崩溃等严重信息
none ##什么都不记录
##:从上到下,级别从低到高,记录的信息越来越少
五.日志同步
1.systemctl stop firewalld ##关闭两台主机的火墙
日志发送方: vim /etc/rsyslog.conf
@172.25.254.243 ##通过udp协议把日志发送到11主机,@表示ud协议发送,@@表示tcp协议发送
日志接受方: vim /etc/rsyslog.conf
15 ModLoad imudp ##日志接收插件
16 UDPServerRun 514 ##日志接收插件使用端口
测试: 发送方和接收方都清空日志
六.日志采集格式
vim /etc/rsyslog.conf
$template LOGFMT, “%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n”
%timegenerated% ##显示日志时间
%FROMHOST-IP% ##显示主机ip
%syslogtag% ##日志记录目标
%msg% ##日志内容
\n ##换行
七.systemd-journald服务
服务提供一种改进的日志管理服务,可以收集来自内核、启动过程、标准输出、系统日志及守护进程启动和运行期
间错误的消息,它将这些消息写入到一个结构化事件日志中
journalctl 命令
journalctl ##日志分析命令
journalctl -n 2 ##查看最近生成的2条日志
journalctl -p err ##查看系统报错
journalctl -f ##监控日志
journalctl –since –until ##查看某个时间段生成的日志
journalctl -o verbose ##查看日志能够使用的条件参数
##_SYSTEMD_UNIT=sshd.service服务名称
##_PID=1182进程pid
journalctl
_UID= //进程uid
_PID= //进程id
_GID= //进程gid
_HOSTNAME= //进程所在主机
_SYSTEMD_UNIT= //服务名称
_COMM= //命令名称
八.systemd-journald管理
默认情况下,systemd日志是不保存在硬盘中的,这意味着系统重启时会被清除,那如果将日志保存
在/var/log/journal目录,这样做的优点是启动后就可以利用历史数据,形成永久日志
mkdir /var/log/journal
chgrp systemd-journal /var/log/journal
chmod 2755 /var/log/journal/
killall -1 systemd-journald
ls /var/log/journal
###时间管理###
1.时间同步 chronyd
1.服务端
yum install chrony -y ##安装服务
vim /etc/chrony.conf ##主配置文件
22 allow 172.25.0.0/24 ##允许谁去同步我的时间
28 local stratum 10 ##不去同步任何人的时间,时间同步服务器级别
systemctl restart chronyd
systemctl stop firewalld
2.客户端
vim /etc/chrony.conf
server 172.25.254.243 iburst ##本机立即同步243主机的时间
systemctl restart chronyd
2.timedatectl命令
timedatectl status ##显示当前时间信息
set-time ##设定当前时间
set-timezone ##设定当前时区
set-local-rtc 0|1 ##设定是否使用utc时间