系统日志管理及日志管理服务

                                              系统日志管理

一、rsyslog    ##此服务是用来采集系统日志的，他不生产日志，只采集日志

二、rsyslog的管理
/var/log/messages    ##服务信息日志

/var/log/secure           ##系统登陆日志

/var/log/cron               ##定时任务日志

/var/log/maillog          ##邮件日志

/var/log/boot.log        ##系统启动日志

                                            日志管理服务

一、rsyslog负责采集日志和分类存放日志
二、rsyslog日志分类

vim /etc/rsyslog.conf    #主配置文件

服务 .日志级别        /存放文件
*.*            /var/log/westos
*.*；authpriv        /var/log/westos

systemctl restart rsyslog

###格式###

日志设备（类型）.（连符号）日志级别    日志处理方式（action）

日志类型分为：

auth    ##pam产生的日志
authpriv   ##ssh.ftp等登陆信息的验证信息
cron   ##时间人物相关
kern  ##内核
lpr  ##打印
mail  ##邮件
mark(syslog)-rsyslog  ##服务内部的信息，时间标示
news   ##新闻组
user  ##用户程序产生的相关信息
uucp  ##unix to umix copy, unix主机之间相关的通讯
local 1~7   ##自定义的日志设备

日志级别分为：
debug  ##有调式信息的，日志信息最多
info   ##般信息的日志，最常用
ntice  ##最具有重要性的普通条件的信息
warning  ##警告级别
err   ##错误级别，阻止某个功能或者模块不能正常工作的信息
crit  ##严重级别，阻止整个系统功能或者整个软件不能正常工作的信息
alert  ##需要立即修改的信息
emerg  ##内核崩溃等严重信息
none   ##什么都不记录

注意：从上到下，级别从高到底，记录的信息越来越少

详细的可以查看手册：man 3 syslog

三、日志的远程同步

在日志发送方：
vim /etc/rsyslog.conf
*.*    @接收端ip    ##"@"表示udp协议发送 “@@” 表示tcp协议发送

systemctl    restart    rsyslog

在日志接收方：
vim /etc/rsyslog.conf
15 $ModLoad imudp    ##日志接受模块
16 ￥UDPServerRun    ##开启接收端

systemctl restart rsyslog.server  ##重启服务
systemctl stop firewalld               ##关闭火墙
systemctl disable firewalld         ##设定火墙开启关闭

测试：
在发送方和接收方都清空日志文件
>  /var/log/messages

(发送方日志已清空)

（接受方日志已清空）

在日志的发送方
logger test
cat /var/log/messages    ##查看日志已经生成

在日志接收方查看
cat /var/log/messages

###日志采集格式的设定###

$template,LOGFMT, "%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n"

%timegenerated%         ##显示日志时间
%FROMHOST-IP%        ##显示主机Ip
%syslogtag%                  ##日志记录内容
%msg%                           ##日志内容
\n                                       ##换行

*.*        /var/log/westos;LOGFMT

cat /var/log/westos

###时间同步服务###
服务名称
chronyd

#在服务端:
vim /etc/chrony.conf
22 allow 172.25.254.0/24    ##允许那些客户端来同步本机时间

允许IP为172.25.254.135的主机来同步本机时间
29 local stratum 10              ##本机不同步任何主机的时间，本机作为时间源

systemctl restart chronyd

timedatectl set-timezone Asia/shanghai  ##更改当前时区为东8区

#在客户端：
vim /etc/chrony.conf
server 172.25.254.200 iburst    ##本机立即同步200主机的时间

 

        @@@@@@注意防火墙关闭

systemctl restart chronyd
timedatectl set-timezone Asia/Shanghai    ##更改当前时区为东8区

#测试：
#在客户端
chronyc    sources -v

 

#####timedatectl 命令######

timedatectl                      ##管理系统时间
timedatectl    status        ##显示当前时间信息
        set-time                   ##设定当前时间
        set-timezone           ##设定当前时区
        set-local-rtc 0|1       ##设定是否支持UTC时间
        list-timezone            ##查看支持的所有时区

####journal#####   
（rsyslog是对日志进行采集，journal是直接查看日志）

1. journalctl        ##日志查看工具
    -n 3                ##查看最近3条日志
    -p err             ##查看错误日志
    -o verbose    ##查看日志的详细参数
    --since           ##查看从什么时间开始的日志
    --until             ##查看到什么时间为止的日志

2.如何使用systemd-journald保存系统日志

默认systemd-journald是不保存系统日志到硬盘的
那么关机后再次开机只能看到本次开机之后的日志
上次关机之前的日志是无法查看的

mkdir /var/log/journal
chgrp systemd-journal /var/log/journal
chmod g+s /var/log/journal
killall -1 systemd-journald

ls /var/log/journal
946cb0e817ea4adb916183df8c4fc817