1.系统日志默认分类
/var/log/messages ##系统服务及日志,包括服务的信息,报错等等
/var/log/secure ##系统认证信息日志
/var/log/maillog ##系统邮件服务信息
/var/log/cron ##系统定时任务信息
/var/log/boot.log ##系统启动信息
2.日志管理服务rsyslog
1.rsyslog负责采集日志和分类存放日志
2.rsyslog日志分类
vim /etc/rsyslog.conf ##主配置文件
服务.日志级别 /存放文件
*.* /var/log/westos ##存到本机的一个目录中
*.* @172.25.254.108 ##同步到108号机子
systemctl restart rsyslog.service
如何将C端的日志文件发给S端?
在C(Client)机中执行如下操作:
(注意:此实验以UDP协议为例,TCP协议需要在IP地址前面加两个@,并且在服务机上开启的是TCP接口)
在S(Server)机中执行如下操作:将光标所在行及其下一行的注释撤销
测试实验是否成功:
STEP1:检验S端的防火墙是否关闭
running说明防火墙没有关,需要关闭防火墙
dead表明已经关闭防火墙
STEP2: > /var/log/messages 删除S端/var/log/messages中的文件
STEP3:在C端执行logger test进行日志文件的测试
测试成功!!!噢耶~
格式
日志设备(类型).(连接符号)日志级别 日志处理方式(action)
日志设备(可以理解为日志类型):
auth ##pam产生的日志
authpriv ##ssh,ftp等登录信息的验证信息
cron ##时间任务相关
kern ##内核
lpr ##打印
mail ##邮件
mark(syslog)–rsyslog ##服务内部的信息,时间标识
news ##新闻组
user ##用户程序产生的相关信息
uucp ##unix to unix copy, unix主机之间相关的通讯
local 1~7 ##自定义的日志设备
日志级别
———————————————————————-
debug ##有调式信息的,日志信息最多
info ##一般信息的日志,最常用
notice ##最具有重要性的普通条件的信息
warning ##警告级别
err ##错误级别,阻止某个功能或者模块不能正常工作的信息
crit ##严重级别,阻止整个系统或者整个软件不能正常工作的信息
alert ##需要立刻修改的信息
emerg ##内核崩溃等严重信息
none ##什么都不记录
注意:从上到下,级别从低到高,记录的信息越来越少
详细的可以查看手册: man 3 syslog
连接符号
———————————————————————-
.xxx: 表示大于等于xxx级别的信息
.=xxx:表示等于xxx级别的信息
.!xxx:表示在xxx之外的等级的信息
实例:
1>记录到普通文件或设备文件::
*.* /var/log/file.log # 绝对路径
*.* /dev/pts/0
2>发送给用户(需要在线才能收到)
*.* root
*.* root,student # 使用,号分隔多个用户
*.* * # *号表示所有在线用户
3> 忽略,丢弃
local3.* ~ # 忽略所有local3类型的所有级别的日志
4> 执行脚本:
local3.* ^/tmp/a.sh #^号后跟可执行脚本或程序的绝对路径
#日志内容可以作为脚本的第一个参数
#可用来触发报警
日志同步:
systemctl stop firewalld ##关闭两台主机的火墙
配置日志发送方
. @172.25.0.11 ##通过udp协议把日志发送到11主机,@udp,@@tcp
配置日志接受方
15 ModLoad imudp ##日志接收插件
16UDPServerRun 514 ##日志接收插件使用端口
测试:
> /var/log/messages ##两边都作
logger test message ##日志发送方
tail -f /var/log/message ##日志接收方
日志采集格式
$template WESTOS, "%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n"
%timegenerated% ##显示日志时间
%FROMHOST-IP% ##显示主机ip
%syslogtag% ##日志记录目标
%msg% ##日志内容
\n ##换行
3.日志分析工具journal
systemd-journald ##进程名称
journalctl ##直接执行,浏览系统日志
journalctl -n 3 ##显示最新3条
journalctl -p err ##显示报错
journalctl -f ##监控日志
journalctl --since --until ## --since "[YYYY-MM-DD][hh:mm:ss]" 从什么时间到什么时间的日志
journalctl -o verbose ##显示日志能够使用的详细进程参数
##_SYSTEMD_UNIT=sshd.service服务名称
##_PID=1182进程pid
对systemd-journald管理,默认情况下此程序会忽略重启前的日志信息,如不忽略:
mkdir /var/log/journal ##文件名不能随意更改
chown root:systemd-journal /var/log/journal
chmod 2755 /var/log/journal
killall -1 systemd-journald ##重新加载
ls /var/log/journal/4513ad59a3b442ffa4b7ea88343fa55f
system.journal user-1000.journal
4.时间同步
注意:此实验的ip要查看自己实验的计算机的ip
1>首先在S端
yum install chrony -y ##安装服务
vim /etc/chrony.conf ##修改配置文件
修改三个位置:1.关闭所有的server,默认有四条记录,全部注释掉
2.指定允许的客户端,或者,允许所有人(0.0.0.0/0)
3.撤销local stratum 10的注释 此行的意思是不去同步任何人的时间,时间同步服务器级别
2>更新S端的配置文件:systemctl restart chronyd.service
3>查看S端的防火墙是否关闭:systemctl status firewalld
如果关闭,则S端的配置完成;如若不然,关闭防火墙systemctl stop firewalld,再次查看防火墙是否关闭
4>其次,在C端 vim /etc/chrony.conf
只需修改一个位置:将server中其他四条记录的注释掉,重新添加一条:server 172.25.254.108 iburst 此处的ip地址为S端的ip地址
测试:
客户端端输入: chronyc sources -v
左下角出现的:^*172.25.254.108表示与108号主机连接成功!
5.timedatectl命令
timedatectl status ##显示当前时间信息
timedatectl set-time ##设定当前时间
timedatectl set-timezone ##设定当前时区
timedatectl set-local-rtc 0|1 ##设定是否使用utc时间