1.rsyslog命令
rsyslog此服务是用来采集系统日志的,它不产生日志,只是起到采集的作用
2.rsyslog的管理
/var/log/messages ##服务信息日志
/var/log/secure ##系统登陆日志
/var/log/cron ##定时任务日志
/var/log/maillog ##邮件日志
/var/log/boot.log ##系统启动日志
(1)指定日志采集路径
日志类型.日志级别 /var/log/file
日志类型:
| 类型名称 | 注释 |
|---|---|
| auth | pam产生的日志 |
| authpriv | ssh,ftp等登录系统的验证信息 |
| cron | 时间任务相关 |
| kern | 内核 |
| lpr | 打印 |
| 邮件 | |
| mark(syslog)-rsyslog | 服务内部的信息,时间标识 |
| news | 新闻组 |
| user | 用户程序产生的相关信息 |
| uucp | unxi to unix copy,unix主机之间相关的通讯 |
| local 1-7 | 自定义的日志设备 |
日志级别:
| 级别名称 | 注释 |
|---|---|
| debug | 有调试信息的日志(日志信息最多) |
| info | 一般信息的日志(最常用) |
| notice | 最具有重要性的普通条件信息 |
| warning | 警告级别 |
| err | 错误级别,阻止整个功能或模块不能正常工作的信息 |
| crit | 严重级别,阻止整个系统或整个软件不能正常工作的信息 |
| alert | 需要立即修改的信息 |
| emerg | 内核崩溃等严重信息 |
| none | 什么都不记录 |
**注意:从上到下,级别从低到高,记录的信息越来越少
man 3 syslog详细的查看手册
练习:把系统中所有的日志采集到/var/log/zxyos中
vim /etc/rsyslog.conf
(*.* /var/log/zxyos)
systemctl restart rsyslog
3.日志的远程同步
在日志发送方:
vim /etc/rsyslog.conf
(*.* @172,25,254,218)
systemctl restart syslog
"@"表示UDP协议发送,“@@”表示TCP协议发送
在日志接收方:
vim /etc/rsyslog.conf
systemctl restart rsyslog
systemctl stop firewalld
systemctl disable firewalld
测试:
在发送方和接收方都清空日志文件
> /var/log/messages
日志发送方:
logger test
cat /var/log/messages ##查看日志已经生成
日志接收方:
cat /var/log/messages
4.日志采集格式的设定
日志接收方:
vim /etc/rsyslog.conf
cat /var/log/zxyos
==%timegenerated%==显示日志时间
==%FROMHOST-IP%==显示主机ip
==%syslogtag%==日志记录目标
==%msg%==日志内容
\n换行
在指定的日志中使用该采集格式:
在系统日志中使用该采集格式:
5.时间同步服务
chronyd
服务端:
vim /etc/chrony.conf
systemctl restart chronyd
客户端:
vim /etc/chrony.conf
systemctl restart chronyd
测试:
客户端:
chronyc sources -v
服务端:
6.timedatectl 命令
timedatectl管理系统时间
| 命令 | 作用 |
|---|---|
| timedatectl status | 显示当前时间信息 |
| timedatectl set-time | 设置当前时间 |
| timedatectl set-timezone | 设置当前时区 |
| timedatectl set-local-rtc 0/1 | 设定是否使用utc时间(0–使用utc时间,1–使用local时间) |
| timedatectl list-timezone | 查看支持的所有时区 |
7.journal 命令
(1)journalctl日志查看工具
| 命令 | 作用 |
|---|---|
| journalctl -n 3 | 查看最近3条日志 |
| journalctl -p err | 查看错误日志 |
| journalctl -o verbose | 查看日志的详细参数 |
| journalctl --since | 查看从什么时间开始的日志 |
| journalctl --until | 查看到什么时间为止的日志 |
journalctl PIN=2907 COMM=sshd查看指定进程日志信息
(2)如何使用systemd-journald保存系统日志
默认systemd-journald是不保存系统日志到硬盘的,关机后再次开机只能看到本机开机后的日志,上一次关机之前的日志是无法查看到的
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
