一.搭建实验环境
1.打开虚拟机,配置网络敬爱嗯
2.将Desktop主机当作日至发送方,将Server当作主机接受方
二.日志管理的基本概念
1.rsyslog:起到采集日志的作用。
2.rsyslog的管理:
| /var/log/messages | 服务信息日志 |
|---|---|
| /var/log/secure | 系统登陆日志 |
| /var/log/cron | 定时任务日志 |
| /var/log/maillog | 邮件日志 |
| /var/log/boot.log | 系统启动日志 |
3.日志采集规则在/var/log/file(文件名)中设置
**日志类型**
| auth pam | 产生的日志 |
|---|---|
| authpriv | ssh,ftp等登陆信息的验证消息 |
| cron | 时间任务相关 |
| kern | 内核 |
| lpr | 打印 |
| 邮件 | |
| mark | 服务内部的信息,时间标识 |
| news | 新闻组 |
| user | 用户程序产生的相关信息 |
| uucp | unix to unix copy,unix主机之间相关的通讯 |
| local 1~7 | 自定义的日志设备 |
**日志级别**
| debug | 有调试信息的,日志信息最多 |
|---|---|
| info | 一般信息的日志 |
| notice | 最具有重要性的普通条件的信息 |
| warning | 警告级别 |
| crit | 严重级别 |
| alert | 需要立刻修改的信息 |
| emerg | 内核崩溃等严重信息 |
| no ne | 不记录 |
4.日志的定向采集
(1)搭建实验环境,并配置网络
(2) 步骤一:输入vim /etc/rsyslog.conf
步骤二:在日志采集文件里st面设置将任意类型,任何级别的日志都存放在/var/log/westos下,命令格式为*.* /var/log/westosb
步骤三:重启系统
(3)测试:
步骤一:生成日志 systemctl restart sshd
步骤二:查看日志cat /var/log/westos
5.日志的远程同步
步骤一:在发送方设置:
(1)在发送方Desktop主机中先vim /etc/rsyslog.conf
(2)在/etc/rsyslog.conf中写入接受方ip
(3)重启系统
步骤二:
在接受方设置:
(1)在接受方Server主机中先vim /etc/rsyslog.conf
(2)将/etc/rsyslog.conf这个文件的15.16行注释去掉
(3)重启系统;关闭防火墙
步骤三:测试
(1)在发送方和接受方清空日志文件
命令格式:> /var/log/messages
(2)在日志发送方的shell中输入
logger test ##产生日志
cat /var/log/messages ##查看日志
(3)在日志接受方查看远程主机发送过来的日志:
已实现远程同步
(4)在日志接受方:重启系统,关闭防火墙
(5)在日志发送方和接受方清空历史文件
(6)在日志接受方查看远程同步的日志
6.日志采集格式的设定
步骤一:在接受方日志Server服务端进行日志采集格式的设置
| 显示日志的生成时间 | %timegenerated% |
|---|---|
| 显示送方主机的ip | %FROMHOST-IP % |
| 日志记录目标 | %syslogtag% |
| 日志内容 | %msg% |
| 换行 | \n |
重启服务
步骤二:在日志接受方查看日志格式
步骤三:在日志发送方查看日志格式
步骤四:在服务端接着设置发送方日志格式
步骤五:重启服务
步骤六:查看日志格式
7.时间同步服务
具体步骤:(1)第22行,allow 172.25.72.0/24 允许客户端来同步本机时间
(2)第29行, local straum 10 本机作为时间源
(3)重启服务
步骤一:在服务端:vim /etc/chrony.conf
步骤二:在客户端:vim /etc/chrony.conf
Server 172.25.72.250(服务端ip) iburst (删除其他的)
步骤三:测试
在客户端输入:chronyc sources -v
步骤四:看客户端与服务端时间是否同步
8.设置系统时间
采用timedatectl 命令
| timedatectl | 管理系统时间 |
|---|---|
| timedatectlset set-time | 设定当前时间 |
| timedatectl status | 显示当前时间信息 |
| timedatectl set-timezone | 设定当前时区 |
| timedatectl set-local-rtc0或1 | 设定是否使用utc时间 |
| timedatectl list-timezones | 查看支持的所有时区 |
(1)timedatectl 管理系统时间
| Localtime | 本地时间 |
|---|---|
| Universaltime | 国家时间 |
| RTCtime | 硬件时间 |
| Timezone | 时区 |
(2)timedatectl status
(3)timedatectl set-time
(4)timedatectl set-timezone “Asia/Shanghai”
(5)timedatectl set-local rtc /1
(6)timedatectl list-timezones
**
9.新的日志采集方式
**
1.journalctl 日志查看工具
| journalctl -n 3 | 查看最近三条日志 |
|---|---|
| journalctl -p err | 查看错误日志 |
| journalctl -o verbose | 查看日志的详细参数 |
| journalctl --since | 查看从什么时间开始的日志 |
| journalctl --until | 查看到什么时间结束的日志 |
(1)journalctl -n 3
(2) journalctl -o verbose
(3)journalctl -p err
(4) journalctl --until
(5) journalctl --since 时间 --until 时间 ##从什么时间到什么时间的日志
2.在硬盘创建一个区域,专门存放journal采集的日志
操作步骤:
(1)mkdir /var/log/journal
(2)chgrp systemctl-journal /var/log/journal
(3)chmod g+s /var/log/journal/
(4)ls -ld /var/log/journal/ 查看文件属性
(5)ps aux | grep journal 查看文件进程
(6)killall -1 /usr/lib/systemd/ystemd-journald 进程重新加载配置,不会关闭进程
(7)date 查看系统当前时间
ls /var/log/journal/
bootctl 重启
(8)journalctl 可以看到之前的日志
扫一扫
706
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
