Linux系统中的日志管理

最新推荐文章于 2024-09-18 19:37:58 发布
最新推荐文章于 2024-09-18 19:37:58 发布
阅读量284 收藏
点赞数
文章标签: 运维 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/snowysumi/article/details/112989422
版权

Linux系统中的日志管理

实验环境

westos_linux:172.25.254.9
westos_node1:172.25.254.109

systemctl stop firewald

journald

  • 服务名称:systemd-journald.service
    #此服务用于查看日志
    #所处位置在/run/log/journal。
    #日志重启后就消失了,只有重启后的日志

     systemctl status systemd-journald.service  ##查看服务的状态
 cd /run/log/journal  						##找寻服务

在这里插入图片描述

  • journal命令用法
    1、

      journalctl -n 3   					     ##日志的最新的三条
        	 --since "10:00:00" 		     ##显示十点之后的日志
 		     --since "2020-05-02 11:00:00”   ## 显示十一点之后的日志
 			 --until “2020-05-02 11:00:00“   ## 显示日志到十一点

在这里插入图片描述
2、 journalctl -o 设置日志的显示方式

journalctl  -o short    ##经典模式显示日志  
journalctl  -o verbose  ##显示日志的全部内容 
journalctl  -o export   ##适合传出和备份的二进制格式
journalctl  -o json     ##js格式显示输出。一般配合生成网页之类的模式

在这里插入图片描述在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

3、journalctl -p 显示制定级别的日志

    journalctl  -p 0  		 	    ##系统的严重问题日志
    journalctl  -p 1    			##系统中立即要更改的信息
    journalctl  -p 2    		    ##严重级别会导致系统软件不能正常工作
    journalctl  -p 3   		        ##程序报错
    journalctl  -p 4  		        ##程序警告
    journalctl  -p 5  		        ##重要信息的普通日志
    journalctl  -p 6 			    ##普通信息
    journalctl  -p 7 			    ##程序排错信息
    journalctl  -F PRIORITY         ##查看可控日志级别
    journalctl  -u sshd     	    ##指定查看服务
    journalctl  --disk-usage 	    ##查看日志大小
    journalctl  --vacuum-size=1G    ##设定日志存放大小
    journalctl  --vacuum-time=1w    ##日志在系统中最长存放时间
    journalctl  -f  			    ##监控日志
    journalctl  _PID=1024 		    ##关于PID的日志
	      						    #_后的内容可更改,使用journalctl -o verbose 来看都可以查什么的日志   
	      						 journalctl  MACHINE_ID=a9bf2464da25407a9b70608b3e39f37d

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

  • 用journal服务永久存放日志
    ##系统默认的日志在/run/log/journal中,默认方式在系统重启后会被清理,如果需要永久保存需要进行以下的操作

        mkdir    /var/log/journal                 ##新建文件;var是硬盘存储
    ls  -ld   /var/log/journal/               ##查看权限
    chgrp systemd-journal /var/log/journal/   ##设定目录的组为ststemd-journal
    chmod 2775 /var/log/journal/              ##目录中新建文件自动归属到目录若属组中
 	ls  -ld   /var/log/journal/
 	cd   /var/log/journal/
 	ls   
 	cd a9bf2464da25407a9b70608b3e39f37d
 	ls
 	systemctl restart systemd-journald        ##重启服务
 	journal                                   ##看日志记录

    在这里插入图片描述
    ##完成以上操作后,如果重启电脑,之前 登陆所产生的日志不会被清除。
    ##要想永久的删除日志则需要删掉此文件 /var/log/journal/ 里面的东西即可

在这里插入图片描述

rsyslog.service

  • 实验环境
    1、创建第二个虚拟机,并且给他配置IP

             westos-vmctl create westos_node2    ##在主机中创建新的虚拟机
         virt-manage         				 ##连接网桥,在主机中操作
         nm-connection-editor      			 ##设置IP,在新的虚拟机中进行

在这里插入图片描述
在这里插入图片描述

2、 为了区分这两个虚拟机,可以对其进行重命名。

     hostnamectl set-hostname westos_node1.westos.org

  • 服务名称:rsyslog-service
    1、日志存放:

       /var/log/message   	 ##系统服务日志,常规信息,服务报错
   /var/log/secure 		 ##系统认证信息日志
   /var/log/maillog  	 ##系统邮件日志信息
   /var/log/cron 		 ##系统定时任务
   /var/log/boot.log	 ##系统启动日志信息

    2、配置文件 : /etc/rsyslog.conf
    3、rsyslog服务用于把日志采集到硬盘里面

      systemctl  status rsyslog   		##查看服务确定他是开启状态
  systemctl restart sshd			##重启一个服务 
  tail /var/log/message				##在系统信息里面看到日志生成
  systemctl stop rsyslog.service    ##关掉这个服务
  > /var/log/message			    ##清除掉信息
  systemctl restart sshd		    ##重启服务
  cat /var/log/messages   		    ##在系统信息里面没有看到日志生成,但是日志是生成的
  systemctl start rsyslog.service   ##再次打开这个采集服务,他会立即采集
  cat /var/log/messages

在这里插入图片描述在这里插入图片描述

  • 自定义日志采集路径

       vim /etc/rsyslog.conf     ##编辑此文件进行自定义,大约在47行


   日志类型.日志级别        日志存放路径
   *.*                   /var/log/westos    ##把系统中所有级别的日志存放到westos中
   *.*;authprive.none   /var/log/westos    ##把系统中所有级别的日志存放到westos中, authpriv不存放到westos中

 日志类型
  auth    	 ##用户认证
  aythpriv 	 ##服务认证
  cron 		 ##时间任务
  kern	     ##内核类型
  mail		 ##邮件
  news	     ##系统更新信息
  user       ##用户
 	
 	日志级别
 	debug    	##程序排错信息
 	info        ##程序常规运行信息
 	notice  	##重要信息的普通日志
 	waring 	    ##程序警告
 	err   		##程序报错
 	crit   		##严重级别会导致系统软件不能正常工作
 	alert  		##系统中立即要更改的信息
 	emerg  		##系统的严重问题日志
 	none 	    ##不采集

在这里插入图片描述

  • 如何更改日记采集模式(假设我的虚拟机node1是接受方)

          man 5 rsyslog.conf    ##查看此服务

在这里插入图片描述

         systemctl disable  --now firewalld.service ##关掉火墙
         vim /etc/rsyslog.conf     					##根据man查看的服务提示,我们应该在接受方编辑此文件进行自定义,大约在19行

在这里插入图片描述

       systemctl restart rsyslog.service  ##重新启动服务
       ss -alntupe | grep rsyslog  		  ##查看端口是否正确

在这里插入图片描述

          vim /etc/rsyslog.conf   ##在日志的发送方,编写此文件47行

在这里插入图片描述
##IP谁是接受方就写谁的IP

      systemctl restart  rsyslog.service   ##在发送方重启服务
       > /var/log/message   			   ##将接收方和发送方的日志都清除,方便观察测试
     tail -f /var/log/messages  		   ##在接受方监控
     logger haohaoxuexi   				   ##在发送方编写日志用logger命令,只是为了简便测试

在这里插入图片描述

  • 如何更改日志采集格式 (调整接受方的格式)
    1、定义日志采集格式

     #WESTOS_FORMAT:    	格式名称
 #%FROMHOST-IP%:  		日志来源主机IP
 #%timegenerated%: 		日志生成时间
 #%syslogtag%:			日志生成服务
 #%msg%:				日志内容
 #\n:					换行
  
 vim    /etc/rsyslog.conf    ##编辑此服务的文件
 $template WESTOS , "%FROMHOST-IP% %timegenerated% %syslogtag% %msg%\n"  ##WESTOS这个名字是任意的,需要与另外一个需要更改的地方名字一致。

在这里插入图片描述
在这里插入图片描述

##更改34行这个格式的时候,首先复制备份一个比较好。 WESTOS只是我自己设定的,可以是任意的,代表了格式而已,两个更改的地方必须是一样的。

timdatectl

  • 实验环境:两台虚拟机,一个用于监控,一个做检测

  • -如何修改系统时间

    timedatectl set-time "2021-01-21 10:15:00"    ##设定系统时间
timedatectl list-timezones    				  ##显示系统的所有时区
timedatectl set-timezone "Africa/Bamako"	  ##设定系统时区
timedatectl set-local-rtc 1|0  			      ##设定系统时间计算方式,0代表RTC时间与UTC时间一致; 1代表RTC时间与本地时间一致,一般都是0

    1、UTC是伦敦时间,RTC是硬盘时间,CST是本机时间。
    硬件时间RTC加时区值Time就是本机时间CST,这个可以作修改。但是 UTC时间不能改。

          timedatectl

    在这里插入图片描述

    watch -n 1 timedatectl ##在node2虚拟机中作出时间戳的监控

在这里插入图片描述

     timedatectl list-timezones

在这里插入图片描述

      vim /etc/adjtime   ##在此文件中可以看见硬盘时间RTC是和谁一致。

在这里插入图片描述

在这里插入图片描述

时间同步服务

如果说node_2共享出去时间,则node_2是服务端,拿到别人时间的node_1是客户端。

  • 在服务端(关闭火墙)

      vim /etc/chrony.conf   ##编辑此文件更改23和25行

在这里插入图片描述
##23行更改的是“把时间共享出去谁能来看”,我所改的是所有人都可以访问我。25行中10表示当前主机时间服务器的时间级别,用man 5 chrony.conf命令可以看其作用

  systemctl enable --now chronyd       ##开启这个服务
  systemctl status chronyd.service     ##查看服务状态
  watch -n 1 timedatectl			   ##监控时间变化

  • 在客户端(如何把服务端的时间同步过来)

     vim /etc/chrony.conf    ##编辑这个文件的第三行。将poor后面的IP改为此服务端的IP

在这里插入图片描述

       systemctl restart chronyd.service   ##重启此服务
       watch -n 1 timedatectl 			   ##作出一个监控

##如果作出以上修改后RTC时间和UTC时间不同,可能是因为我们是手动改的,没有将电脑重启同步过来,利用以下两个命令即可

  clock -w   ## 把我们的系统时间同步到硬件
  clock -s   ## 把硬件时间同步到系统

##在客户端输入chronyc sources -v命令可查看是否已经同步

在这里插入图片描述

##同步之后不能再改时间 ,需要把服务关掉才可以再次修改时间

snowysumi
关注
linux系统日志切割
weixin_44767040的博客
04-10 6365
对于Linux系统安全来说,日志文件是极其重要的工具。不知为何,我发现很多运维同学的服务器上都运行着一些诸如每天切分Nginx日志之类的CRON脚本,大家似乎遗忘了Logrotate,争相发明自己的轮子,这真是让人沮丧啊!就好比明明身边躺着现成的性感美女,大家却忙着自娱自乐,罪过!logrotate程序是一个日志文件管理工具。用于分割日志文件,删除旧的日志文件,并创建新的日志文件,起到“转储”作用。可以节省磁盘空间。下面就对logrotate日志轮转操作做一梳理记录: 1. 配置文件介绍 Linux系统.
Linux系统日志服务管理
kid00013的博客
03-08 1181
目录 1.日志介绍 1.1 什么是日志 1.2 Linux系统使用的两种系统日志服务 1.3 ELK 2.rsyslog管理 2.1 系统日志术语 1.2 实验 1.日志介绍 1.1 什么是日志 网络设备、系统及服务程序等,在运作时都会产生一个叫log的事件记录;每一行日志都记载着日期、时间、使用者及动作等相关操作的描述 日志记录的内容包括: 历史事件:时间,地点,人物,事件 日志级别:事件的关键性程度,Loglevel 1.2 Linux系统使用的两种系统
linux 日志按大小切割_Linux | 日志查找和日志切割
weixin_39671631的博客
12-19 299
前言在linux上查找日志的时候,如果我想找出某个时间段的日志,比如查找今天早上8点到下午2点的日志。用grep不太方便直接过滤出来,可以使用sed根据时间去查找sed -n '/开始时间日期/,/结束时间日期/p' all.log查找日志比如下面这段日志,前面的时间格式都是类似 2019-10-21 07:44:202019-10-24 21:33:31,678 [django.request:...
Linux-日志管理
最新发布
qq_64485253的博客
09-18 2015
这里需要用到local0~local7的自定义分类。我们以sshd为例。1)首先我们需要使用vim打开sshd服务的配置文件,进行修改配置2)然后找到如下位置,将其更改为我们需要的分类local0#SyslogFacility AUTH SyslogFacility AUTHPRIV ##定义日志级别 #LogLevel INFO修改后,如下所示。
linux删除指定日志文件_Linux下如何拆分大的日志文件?
weixin_39912984的博客
11-28 372
来源:公众号【编程珠玑】作者:守望先生ID:shouwangxiansheng前言没设置好日志大小最大值,导致日志文件过大,普通编辑器根本没法打开或者特别卡,怎么办?拆分呗。如何拆分split命令上场。按照行数拆分假设文件test.txt有n多行,每2行拆分为一个文件,使用-l参数即可:$split-l2test.txt$ls-al-rw-r--r--1rootroo...
Linux日志切割
新路的专栏
04-10 3112
如果服务器有大量的用户的话,这些日志文件的大小会很快地增加,在服务器硬盘不是非常充足的情况下,必须采取措施防止日志文件将硬盘撑爆。现代的Linux版本都有一个小程序,名为logrotate,用来帮助用户管理日志文件,它以自己的守护进程工作。logrotate周期性地旋转日志文件,可以周期性地把每个日志文件重命名成一个备份名字,然后让它的守护进程开始使用一个日志文件的新的拷贝。这就是为什么在/var
linux 日志按大小切割_linux日志切割
weixin_39566578的博客
12-19 994
linux下的日志会定期进行滚动增加,我们可以在线对正在进行回滚的日志进行指定大小的切割(动态),如果这个日志是静态的。比如没有应用向里面写内容。那么我们也可以用split工具进行切割;其Logrotate支持按时间和大小来自动切分,以防止日志文件太大。logrotate配置文件主要有:/etc/logrotate.conf 以及 /etc/logrotate.d/ 这个子目录下的明细配置文件...
Linux 系统手动滚动日志的方法
09-14
Linux 系统日志管理是一项至关重要的任务,因为日志文件记录了系统的运行状态和错误信息,有助于诊断问题和维护系统安全。日志滚动(log rotation)是一种自动化策略,用于定期清理和管理日志文件,避免单个...
解析Linux系统日志文件系统.pdf
09-06
Linux系统日志文件系统是指在Linux操作系统用于存储和管理文件的系统。该系统是操作系统的核心组件之一,对系统的稳定性和可靠性产生着至关重要的影响。 Linux系统日志文件系统可以分为两种,即日志文件系统和...
Linux日志管理系统
07-31
Linux系统日志通常遵循syslog协议,该协议定义了日志消息的结构和级别,如警告、错误、信息等。还有一些应用程序有自己的日志格式,例如Apache HTTP服务器的日志文件。 **3. 集日志管理系统组件** - **...
linux下的日志切割
weixin_43268590的博客
03-24 5473
linux下的日志会定期进行滚动增加,可以在线对正在进行回滚的日志进行指定大小的切割。(动态) 当日志达到某个特定的大小,将日志分类,之前的日志保留一个备份,再产生的日志创建一个同名的文件保存新的日志
Linux使用logrotate来切割日志文件
09-15
本篇文章主要介绍了Linux使用logrotate来切割日志文件,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
linux日志切割
caiceyunchuang的专栏
09-06 592
nginx的日志不会自动切割,所以得借助第3方工具来进行切割 利用logrotate进行日志切割比利用crontab写脚本切割方便。 参考文档:http://blog.sina.com.cn/s/blog_5f54f0be0101h6y8.html logrotate是作为linux系统日志管理工具存在。他可以轮换,压缩,邮件系统日志文件。 它默认的配置文件在: /etc/logrot
Linux - 日志切割
qq_60271706的博客
09-13 2834
日志切割:当应用程序或操作系统日志文件满足设定的触发条件,对其进行切割。切割后的日志会在原有日志的基础上多出一个新的日志文件,且后续产生的日志也会被写入到新的日志文件,直到下一次满足设定的触发条件时。linux日志会定期进行滚动增加,需要在线对正在进行回滚的日志进行指定大小的切割(动态)如果这个日志是静态的,可以使用split工具进行切割。Logrotate是一个Linux工具,用于管理系统产生的日志文件。它可以自动将旧日志文件进行日志切割、压缩存档、删除和重命名等操作,以便释放磁盘空间。
linux服务器日志切割
qq_37173323的博客
02-25 1312
linux服务器日志切割linux服务器日志切割思路具体操作总结 linux服务器日志切割 现在网上比较成熟的有 logrotate 和 cronolog 两种工具,也有很多实现,我们这里不使用这两种,所以不多赘述,只讲讲使用最基本的linux切割日志的方法。 思路 因为每天产生的日志都会输出到 catalina.out 这个文件,我们可以在每天晚上凌晨的时候把 catalina.out 这个...
linux 日志按大小切割_linux文件分割(将大的日志文件分割成小的)【转载】
weixin_39736547的博客
12-19 786
linux文件分割(将大的日志文件分割成小的)linux下文件分割可以通过split命令来实现,可以指定按行数分割和安大小分割两种模式。Linux下文件合并可以通过cat命令来实现,非常简单。在Linux下用split进行文件分割:模式一:指定分割后文件行数对与txt文本文件,可以通过指定分割后文件的行数来进行文件分割。命令:split -l 300large_file.txt new_file_...
Linux切割log日志
我的博客
06-24 1362
授予执行权限如果日志文件比较大,MV是需要时间的,这段时间内的日志有可能丢失。
linux 日志按大小切割_linux下nohup日志切割方案
weixin_32296949的博客
12-29 996
1、nohup命令解释:a、语法:nohup [command] [args] [&]b、说明:nohup 命令运行由 Command 参数和任何相关的 Arg 参数指定的命令,忽略所有挂断信号。在注销后使用 nohup 命令运行后台的程序。要运行后台的 nohup 命令,添加 & ( 表示“and”的符号)到命令的尾部,如果不指定重定向,则日志默认输出到当前目录下nohup....
Linux使用Logrotate做日志切割
SpringLei
03-24 1114
服务器系统及应用长期运行将会产生大量的运行日志,若日志没有及时删除,日志文件日积月累将占满服务器所有存储空间,导致业务系统无法正常使用。nginx等日志较多的应用日常维护时日志管理及其重要。 logrotate是一个Linux工具,用于管理系统产生的日志文件。它可以自动将旧日志文件进行日志切割、压缩存档、删除和重命名等操作,以便释放磁盘空间。Nginx日志切割转存,每天转存生成一个压缩日志文件,当日志文件达到500M时也进行转存操作。注:一个规则文件内可添加多个日志规则文件。五、Logrotate示例。
Linux系统日志管理与syslog daemon详解
本资源是一份关于Linux初级管理的PPT,主要讲解了系统日志服务在Linux环境的应用和管理Linux是一个基于内核的操作系统,其核心功能在于提供硬件与软件之间的通信平台,包括文件管理、虚拟内存和设备I/O服务。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值