(三)Linux系统中的日志管理2021-11-04

最新推荐文章于 2023-10-14 22:28:29 发布
最新推荐文章于 2023-10-14 22:28:29 发布
阅读量335 收藏 2
点赞数
文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52015311/article/details/121142482
版权

实验环境

systemctl stop firewalld

一、journald

服务名称:systemd-journald.service

默认日志存放路径: /run/log

#用命令查看服务状态
在这里插入图片描述
#默认存放路径:目录的名字是机器码,在机器码目录下存放日志文件,文件格式是在线文件
在这里插入图片描述
#一旦删除文件再重启systemd-journald.service服务就会重新生成新文件,之前的日志数据就没有了。
在这里插入图片描述

1、journalctl命令的用法

journalctl 							      ##显示日志
journalctl -n 3   						  ##显示日志的最新3条
journalctl --since "2021-01-20 10:00:00“  ##显示10:00后的日志
journalctl --until "2021-01-20 10:05:59"  ##显示日志到10:05

journalctl -o  #设定日志的显示方式,有以下选择
     	       short   ##标准经典模式显示日志
               verbose ##显示日志的全部字节
               export  ##适合传出和备份的二进制格式
               json    ##js格式显示输出

journalctl -p
      		  ##0     emerg 系统的严重问题日志 
     		  ##1     alert 系统中立即要更改的信息
     		  ##2     crit  严重级别会导致系统软件不能正常工作,有些硬件没有导致软件不正常
      		  ##3     err   程序报错
      		  ##4     warning 程序警告
       		  ##5     notice 重要信息的普通日志,正常日志
              ##6     info  普通信息
              ##7     debug 程序报错信息
              
journalctl -F  PRIORITY  	 ##查看可控日志级别
journalctl -u  sshd      	 ##指定查看服务如sshd
journalctl --disk-usage      ##查看日志大小
journalctl --vacuum-size=1G  ##设定日志存放大小,一共用了多少硬盘来存储日志
journalctl --vacuum-time=1W  ##日志在系统中最长存放时间
journalctl -f                ##监控日志,生成一封显示查看一封
journalctl _PID=893          ##查看关于PID=893的日志

在这个实验前,我们先对上一章讲到的sshd配置文件做一个修改

vim /etc/ssh/sshd_config
#将文件中的第一行的注释符合去掉,就是故意让它出错,之后记得恢复文件。
systemctl restart sshd

1、journal命令

在这里插入图片描述

2、journalctl -n 3 显示日志最新3条

在这里插入图片描述

3、 journalctl --since 和 --until可以单独也可以一起用 显示从某时间到某时间的日志

在这里插入图片描述

4、journalctl -o ##设定日志的显示方式

short 标准经典模式显示日志
在这里插入图片描述verbose 显示日志的全部字节
在这里插入图片描述

5、journalctl -p

      		  0     emerg 系统的严重问题日志 
     		  1     alert 系统中立即要更改的信息
     		  2     crit  严重级别会导致系统软件不能正常工作,有些硬件没有导致软件不正常
      		  3     err   程序报错
      		  4     warning 程序警告
       	  5     notice 重要信息的普通日志,正常日志
              6     info  普通信息
              7     debug 程序报错信息

下图里的报错信息是修改sshd_config文件的原因
在这里插入图片描述

6、journalctl -F PRIORITY #查看可控日志级别

在这里插入图片描述

7、journalctl -u sshd ##查看指定服务

在这里插入图片描述

8、journalctl --disk usage ##查看日志大小

journalctl --vacuum-size=1G ##设定日志存放大小
journalctl --vacuum-time=1w ##设定日志在系统中最长存放一周
journalctl -f ##监控日志,生成一封显示一封查看一封

在这里插入图片描述### 9、journalctl _PID=3003 ##查看PID为3003的日志
查询sshd服务的状态查询到进程的PID为3003
在用命令查询3003的日志,从日志中的报错可以看到错误出现在修改/etc/ssh/sshd_config文件的第一行,做完实验后我们把文件修改回来
在这里插入图片描述

2、用journald服务永久存放日志

  • 系统默认日志是存放在 /run/log/journal 中
  • 默认方式在重启系统后日志会被清理

先用mkdir 建立存储日志的目录
再用chgrp 将文件的组更改为systemd-journal
chmod 2775 保证目录新出现的文件也属于这个组
在这里插入图片描述重启服务后可以看到日志存放的路径已经改变到/var/log/journal
在这里插入图片描述完成上面操作后,重启系统可以看到日志被保存下来

二、rsyslog

rsyslog是采集日志

服务名称:rsyslog.service

配置文件:/etc/rsyslog.conf

日志存放:

文件内容
/var/log/messages系统服务日志,常规信息,服务报错
/var/log/secure系统认证信息日志
/var/log/maillog系统邮件日志信息
/var/log/cron系统定时任务信息
/var/log/boot.log系统启动日志信息

我们可以先清空系统服务日志messages文件,重启一下sshd服务,再查看系统服务日志有没有记录重启sshd服务。

在这里插入图片描述然后关掉rsyslog服务,再重复上面的操作,就不会采集系统服务日志了
在这里插入图片描述

1、自定义日志采集路径

vim /etc/rsyslog.conf
#把系统中所有级别的日志存放到westos中

在这里插入图片描述重启rsyslog服务后可以看到生成的westos文件
在这里插入图片描述在200主机先清空之前的日志,之后在100主机登录200主机
在这里插入图片描述在200主机上能查看到日志信息
在这里插入图片描述
在这里插入图片描述#把系统中所有级别的日志存放到westos中,但认证服务不存放
在这里插入图片描述

2、监控其他主机的日志(日志同步)

实验需要两台主机分别为发送方和接收方

1、发送方为200主机

vim /etc/rsyslog.conf
编辑内容:1、19和20行去掉注释
		 2、47行添加内容*.*;              @172.25.254.100

在这里插入图片描述在这里插入图片描述 修改文件后重启服务

systemctl restart rsyslog.service

2、接收方为100主机

vim /etc/rsyslog.conf
编辑内容:19和20行去掉注释

在这里插入图片描述修改文件后i重启服务并关闭接收方防火墙

systemctl restart rsyslog.service
systemctl stop firewalld.service

3、将两个主机的系统服务日志文件都清空,即/ var / log / messages文件

 > /var/log/messages

4、在发送方200执行logger命令发送westos test
在两个主机的系统服务日志都可以看到记录
在这里插入图片描述在这里插入图片描述

3、更改日志采集格式

日志采集格式指令:

指令作用
%FROMHOST-IP%显示日志来源主机 IP
%timegenerated%显示日志生成时间
%syslogtag%显示日志生成服务
%msg%显示日志内容
\n换行符

设定日志采集格式

在接收方100上设定格式

vim /etc/rsyslog.conf
编辑内容:34行 $template WESTOS"%FROMHOST-IP\n%
		 	设置采集格式WESTOS,指定显示日志来源主机ip并添加换行符
		 	
		 47行 *.。。。            /var/log/messages;WESTOS
								指定日志采集格式为WESTOS

在这里插入图片描述在这里插入图片描述
每次修改文件后都要重启rsyslog.service

systemctl restart rsyslog.service

在200发送端发送 test

[root@westoslinux200 ~]# logger test

能在100接收端查看到,即日志的最后一条来源是200主机
在这里插入图片描述注:设置采集格式可以添加多个指令,每个指令之间空格隔开

也可以将我们自己设定的采集格式设置为默认格式

vim /etc/rsyslog.conf
修改第33行,就默认格式改为WESTOS格式

在这里插入图片描述

三、timedatectl

在这里插入图片描述
其中:
当前时间 Local time CST
世界时间 Universal time UTC
硬件时间RTC time
时区 Time zone
System clock synchronized: no当前时间是否和别人同步过
NTP service: inactive 时间同步服务是否激活
RTC in local TZ: no 本地时间是否作为硬件时间

1)设定系统时间
timedatectl set-time ”time"
需要关闭时间同步服务,否则设定失败
在这里插入图片描述
2)设定系统时区

timedatectl list-timezones	##显示系统的所有时区

在这里插入图片描述
把列表里的第一个地区设置为系统时区
在这里插入图片描述

timedatectl set-timezone “Asia/Shanghai”##实验后时区还是改为上海

3)设定系统时间计算方式

timedatectl set-local-rtc 0|1##0表示使用utc时间计算方式,默认为0,不用改动

实现时间同步

100主机之前已经重新设置系统时间了,现在想让200主机与100时间同步

在100主机上

vim /etc/chrony.conf

允许所有网络的主机与100同步
在这里插入图片描述
计时器等级为10
在这里插入图片描述
修改后关闭100火墙并重启时间同步服务
在这里插入图片描述

systemctl restart chronyd.service

在200主机上

vim /etc/chrony.conf

在这里插入图片描述
修改后重启时间同步服务
在这里插入图片描述

可以看到200主机的时间同步了100主机
在这里插入图片描述
用chronyc source -v 可以查看到时间同步源为100主机
在这里插入图片描述

dyh_chd
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
『1-10』Linux日志管理
qq_39679699的博客
01-20 683
Linux日志管理 实验一、journalctl命令的用法 journalctl -n 3 日志的最新3条 journalctl --since "2000-01-11 12:12:12" 显示该时间后的日志 journalctl --until "2000-01-11 12:12:12" 显示日志直到该时间 journalctl -o 设定日志的显示方式 journalctl -o short 经典模式显示日志 journalctl -o verbose 显示日志的全部字节 journalctl -o
Linux: journal日志文件维护
彭世瑜的博客
10-25 3141
清空 /var/log/journal 文件的方法 1、用echo命令,将空字符串内容重定向到指定文件 echo "" > system.journal 说明:此方法只会清空一次,一段时间后还要再次手动清空很麻烦,这里可以用以下命令让journalctl 自动维护空间 2、journalctl 命令自动维护文件大小 1)只保留近一周的日志 journalctl --vacuum-time=1w 2)只保留500MB的日志 journalctl --vacuum-size=500M 3)直接删除
linux下追踪最新日志
iefcu的专栏
04-02 949
<br />使用tail -f $logfile<br />(这个命令是动态查看日志文件的最新内容)<br /> <br />多敲几个回车<br /> <br />执行服务,tail命令输出日志最新增加的内容<br /> <br />终止tail命令。<br /> <br />得到最新写入的日志
Linux系统日志管理
weixin_46138661的博客
02-16 274
文章目录实验环境一、journald实验一、journalctl命令的用法二、rsyslog、timedatectl四、时间同步服务 前言:我们都知道,在系统日志是非常重要的,因为系统不会讲话,所以会将重大事件用语言记录下来,在日志程序体现出来,日志分为很多种级别,日志是由各个程序生成的,日志的采集是由journald或rsyslog这两个程序采集的,不同程序采集日志的方式是不一样的,在r...
linux日志和journalctl 管理查看日志
热门推荐
bandaoyu的note
10-14 1万+
journalctl -xe # -x 是目录(catalog)的意思,在报错的信息下会,附加解决问题的网址 -e pager-end 从末尾开始看。4. `journalctl -p priority-level`:按优先级过滤日志条目,例如 `-p err` 只显示错误级别的日志。6. `journalctl --since "YYYY-MM-DD HH:MM:SS"`:仅显示指定时间之后的日志条目。7. `journalctl --disk-usage`:显示日志存储占用情况。
linux系统管理-日志管理和分析分享.pdf
12-17
linux系统管理-日志管理和分析分享.pdf
Linux实验-日志管理
04-12
(1)熟悉Linux日志系统 (2)掌握系统管理相关命令
Linux 高级篇-日志管理
07-24
Linux 高级篇-日志管理.md1. 日志文件是重要的系统信息文件,其记录了许多重要的系统事件,包括用户的登录信息、系统的启动信息、系统的安全信息、邮件相关信息、各种服务相关信息等。2. 日志对于安全来说也很重要...
Linux笔记-011-日志管理.xmind
05-16
Linux系统日志管理(作者:千锋教育-磊哥)
el-admin后台管理系统-其他
06-12
系统日志:记录用户操作日志与异常日志,方便开发人员定位拍错 SQL监控:采用druid 监控数据库访问性能,默认用户名admin,密码123456 定时任务:整合Quartz做定时任务,加入任务日志,任务运行情况一目了然 代码...
linux系统日志设置
lx123010的专栏
11-19 5169
为何我更喜欢 SystemV我更喜欢 SystemV,因为它更开放。使用 Bash 脚本来完成启动。内核启动init程序(这是一个编译后的二进制)后,init启动rc.sysinit脚本,该脚本执行许多系统初始化任务。rc.sysinit执行完后,init启动脚本,该脚本依次启动由 SystemV 启动脚本定义的各种服务。其X是待启动的运行级别号。除了init程序本身之外,所有这些程序都是开放且易于理解的脚本。...
项目| 日志方案Log
YvesHe的专栏
09-19 246
日志分类 System.out.println() 使用JDK Logging https://www.liaoxuefeng.com/wiki/1252599548343744/1264738568571776 使用Commons Logging 使用Log4j 使用SLF4J和Logback 细化教程 Log4j 参考资料: https://www.liaoxue...
使用 journalctl 查看日志
XMWS-IT
12-07 6223
journalctl 是一个日志分析工具,从 RHEL 7.0 开始,它就一直陪伴在系统管理员身边。journalctl 内置了日志旋转功能(logrotate),具备丰富的过滤能力,可以查看所有systemd 服务单元的日志,使得运维工作变得更加轻松,非常方便。journaldjournald 是 systemd 的系统日志守护进程。systemd 旨在集管理来自进程,应用程序的日志;所有此类事件都由 journald 守护进程处理,它从整个系统收集日志并将日志保存在二进制文件。为什么使用二进制保存日
服务器重启后的故障原因排查
11-22 2534
日志查看
Linux 系统垃圾日志清理
shgh_2004的专栏
06-29 2430
Linux 系统垃圾日志清理CentOS系统有两个日志服务,分别是传统的 rsyslog 和 systemd-journal systemd-journald是一个改进型日志管理服务,可以收集来自内核、系统早期启动阶段的日志系统守护进程在启动和运行的标准输出和错误信息,还有syslog的日志。 systemd-journal 日志服务仅仅把日志保存在单一结构的日志文件/run/log,由于日志是经历过压缩和格式化的二进制数据,所以在查看和定位的时候很迅速。 默认情况下并不会持久化保存日志,只会保
linux怎么配置日志,Linux配置日志服务器的图文教程
weixin_42499999的博客
05-03 2115
Linux配置日志服务器的图文教程前言本文主要介绍的是关于Linux配置日志服务器的相关内容,分享出来供大家参考学习,下面话不多说了,来一起看看详细的介绍吧日志服务器配置文件:/etc/rsyslog.conf服务器端:服务器IP如下:编辑日志服务器配置文件:这里UDP或者TCP任选一个将注释的两句复制一遍,然后取消注释即可进入目录下创建配置文件,配置需要监控的客户端Vim编辑器打开内容如下:内...
Linux系统日志分析、时间同步
Ying_smile的博客
04-19 572
一、系统日志 1、为了在真机上连接虚拟机时区别各主机,修改主机名 hostnamectl set-hostname node1.example.com #node1 是主机名 2、在真机上面连接两台虚拟机,ctrl+shift+t 打开另外一个终端 3、为了方便查看操作记录,需要规定日志采集位置 1、日志采集 日志内容是系统本身决定的,在内存日志采集的位置需要在配置文件/...
/var/log/message 归档探究
Qinng的博客
04-11 7005
背景 由于项目要收集/var/log/messages的日志到es,发现messages日志按天切割,但归档的时间却不一直,于是乎查了点资料探究下 介绍 /var/log/messages是由journald生成的,流程如下 systemd --> systemd-journald --> ram DB --> rsyslog -> /var/log 当 systemd ...
怎么在linux系统上查看jeecg-boot
最新发布
11-15
要在Linux系统上查看jeecg-boot,可以按照以下步骤操作: 1. 首先,确保已经在Linux系统上安装了jeecg-boot,并且已经成功启动了jeecg-boot应用程序。 2. 打开终端,输入以下命令来检查jeecg-boot进程的运行状态: ``` ps -ef | grep jeecg-boot ``` 该命令会列出所有包含“jeecg-boot”关键字的进程,并显示它们的进程ID(PID)以及其他相关信息。 3. 如果想查看jeecg-boot的日志信息,可以使用以下命令来查看应用程序的日志文件: ``` tail -f /path/to/jeecg-boot/logs/jeecg-boot.log ``` 替换“/path/to/jeecg-boot/logs/jeecg-boot.log”为实际的jeecg-boot日志文件路径。 4. 如果需要查看jeecg-boot应用程序的运行状态和性能指标,可以使用以下命令来查看应用程序的实时统计信息: ``` top -p <PID> ``` 将“<PID>”替换为jeecg-boot进程的实际进程ID。 通过以上步骤,可以在Linux系统上查看jeecg-boot的运行状态、日志信息以及性能指标,帮助用户监控和管理jeecg-boot应用程序。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值