Linux中企业日志的管理

一、企业日志的管理

• 日志的存在可以使管理员提前知道服务器的各种状态，如果服务器出现什么问题可以提前处理。那么问题来了，公司的服务器很多，难道管理员一个一个查看服务器的状态吗？实际上并不是这样的，为了提高工作效率，我们可以把所有服务器的日志集中在一起管理，放在一台主机上管理，将其他服务器的日志都传到这台管理日志的主机上，这样就方便多了。
• 注意：系统启动自动打开的shell会一直产生日志。

1、日志采集

1.1 rsyslog 日志采集服务

• 采集系统日志，自己不生产日志，只是起到采集日志的作用

文件	含义
/var/log/messages	服务信息日志
/var/log/secure	系统登陆日志
/var/log/cron	定时任务日志
/var/log/maillog	邮件日志
/var/log/boot.log	系统启动日志

• 注意：以上是采集指定日志的路径

1.2 日志采集规则

• 日志采集规则在 /var/log/file（文件名） 中设置

• 日志类型

命令	日志
auth pam	产生的日志
authpriv	ssh,ftp等登陆信息的验证信息
cron	时间任务相关
kern	内核
lpr	打印
mail	邮件
mark	（syslog)-rsyslog 服务内部的信息，时间标识
news	新闻组
user	用户程序产生的相关信息
uucp	unix to unix copy，unix主机之间相关的通讯
local 1～7	自定义的日志设备

• 日志级别

命令	日志
debug	有调试信息的，日志信息最多
info	一般信息的日志，最常用的
notice	最具有重要性的普通条件的信息
warning	警告级别
err	错误级别，阻止某个功能或者模块不能正常工作的信息
crit	严重级别，阻止整个系统或者整个软件不能正常工作的信息
alert	需要立刻修改的信息
emerg	内核崩溃等严重信息
none	什么都不记录

• 注意：从上到下，级别从低到高，记录的信息越来越少

2、日志的定向采集

（1）vim /etc/rsyslog.conf 打开设定日志规则的文件（/etc/rsyslog.conf）

（2）在日志采集文件里RULES下设置 将任意类型、任何级别的日志【.】 都存放在 /var/log/westos 下
如果westos文件不存在，会自动生成该文件 命令格式为 . /var/log/westos

（3）systemctl restart rsyslog 重启系统
（4）systemctl restart sshd 生成日志
（5）cat /var/log/westos 查看日志

3、日志的远程同步

• 为了方便一台服务器管理多台服务器

（1）在发送方：

• vim /etc/rsyslog.conf

• 在etc/rsyslog.conf文件中写入 . @172.25.254.225(接受方ip)

• 在发送方**systemctl restart rsyslog** 重启系统

（2）在接受方：

• vim /etc/rsyslog.conf 将文件中15、16行的注释去掉
  15 $ModLoad imudp 日志接受模块 16 $UDPServerRun 514 开启接收模块

• 再次重启系统，关闭防火墙 systemctl stop firewalld 或 systemctl disable
  firewalld

（3）测试：

• 在发送方和接受方：清空日志文件 > / var / log / messages
• 在日志发送方： logger test 生成日志 cat /var/log/messages 查看已生成的日志
• 在日志接受方： cat /var/log/messages 查看已生成的日志
• 但是接收的日志不止是刚刚新建的日志，而是还有很多 /etc/rc.d/rc.local文件产生的日志。故应在发送方主机中清空文件 > /etc/rc.d/rc.local ，后重启主机reboot( 看到的不一定是一条和发送方相似的 )

4、日志采集格式的设定

• 注意：此实验是在实现远程同步的基础上进行的
• 为了在管理服务器的时候方便，可以通过日志采集格式的设定来获得日志的生成时间、日志发送方的ip地址、日志的服务目标、日志的内容。

（1）在接受日志方（server服务端）进行日志采集格式的设置

• vim /etc/rsyslog.conf，在 rules（规则下）设置 日志采集规则 $template WESTOS(任意写)，“%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n”

• 在 *.info; 下面写 . /var/log/westos；WESTOS 在指定的日志中采用WESTOS格式

• ActionFileDefaultTemplate WESTOS 29行 修改系统默认日志采集格式为WESTOS

（2） 重启服务，在发送方查看日志格式

5、 时间同步服务chronyd

（1）在服务端：vim /etc/chrony.conf
22行： allow 172.25.254.0/24 允许那些客户端来同步本机时间
29行： local stratum 10 本机不同步任何主机的时间，本机作为时间源
重启 systemctl restart chronyd

（2） 在客户端： vim /etc/chrony.conf
server 172.25.254.225 iburst(删除其他的) 本机立即同步225主机的时间
重启 systemctl restart chronyd

（3）测试：在客户端输入：chronyc sources -V，出现* ip 就说明好了
若未出现 则**关闭防火墙**

（4）在客户端和服务端均输入 date看是否时间同步

6、 设置系统时间

timedatectl | 时间设置命令

命令	意义
timedatectl	管理系统时间
timedatectl status(可加可不加)	显示当前时间信息
timedatectl set-time	设定当前时间
timedatectl set-timezone	设定当前时区
timedatectl set-local-rtc 0或1	设定是否使用utc时间 vim /etc/adjtime
timedatectl list-timezones	查看支持的所有时区

（1）timedatectl 管理系统时间

time	时间
Local time	本地时间
Universal time	国际时间
RTC time	硬件时间
Timezone	时区

（2）timedatectl status(可加可不加) 显示当前时间信息

（3）timedatectl set-time 设定当前时间
（4）timedatectl set-timezone “Asia/Shanghai" 更改当前时区为东8区
（5）timedatectl set-local-rtc 0|1 设定是否使用utc时间 vim /etc/adjtime

7、新的日志采集方式

journal | 日志采集方式

7.1 journalctl 日志查看工具

命令	意义
journalctl -n 3	查看最近3条日志
journalctl -p err	查看错误日志
journalctl -o verbose	查看日志的详细参数
journalctl --since	查看从什么时间开始的日志
journalctl --until	查看到什么时间为止的日志

（1）journalctl -n 3 查看最近3条日志

（2）journalctl -p err 查看错误日志

（3）journalctl -o verbose 查看日志的详细参数

（4）journalctl --since 查看从什么时间开始的日志

（5）journalctl --until 查看到什么时间为止的日志

7.2 使用systemd-journalctl 保存系统日志

• 默认systemd-journalctl是不能保存系统日志到硬盘的，那么关机后再次开机只能看到本次开机之后的日志，关机之前的日志是无法查看的

（1）mkdir /var/log/journal
（2）chgrp systemd-journal /var/log/journal/
（3）chmod g+s /var/log/journal/
（4）ls -ld /var/log/journal/ 查看文件属性
（5）ps aux | grep journal 查看journal进程

（6）killall -1 /usr/lib/systemd/systemd-journald（进程重新加载配置，不会关闭进程)
（7）date 查看系统当前时间
（8）ls /var/log/journal/
（9）bootctl 重启
（10）journalctl（可以看到之前的日志了 就是可以采集日志）