linux下的日志管理

linux中的日志管理

journalctl命令

journalctl
-n 3 #日志的最新三条
–since “2021-1-20 11：00：00” #显示11：00后的日志
–until “2021-1-20 12:00:00” #显示指定日期12点前的日志
–since “2021-1-20 11：00：00” --until “2021-1-20 12:00:00” #显示指定时间区间内的日志

-0
short 经典模式显示日志
verbose 显示日志的全部字节
export 显示日志适合传出和备份的二进制格式
json js格式显示输出
-P
0 #emerge 系统严重问题的日志
1 #alert 系统中立即要更改的信息
2 #crit 系统软件不能正常工作
3 #err 程序报错
4 #warning 程序警告
5 #notice 重要信息的普通日志
6 #info 普通信息
7 #debug 程序排错信息
-F PRIORITY #查看可控日志级别
-u 查看指定服务
–disk-usage #查看日志大小
–vacuum-size=1G#设定日志存放大小
–vacuum-time=1W#设定日志在系统中最长存放的时间
-f #监控日志

journalctl _= #查看指定项目的日志 _<项目>可在verbose查看方式中查看
##journal服务永久保存日志

系统默认日志保存在/run/log/journal中
默认方式在重启后日志会被清理 要永久保存日志需要完成以下操作
mkdir /var/log/journal
chgrp systemd-journal /var/log/journal
chmod 2775 /var/log/journal
systemctl restart systemd-journal.service
完成当服务重启日志存放路径会被指定到 /var/log/journal

并且重启不会清除日志

可以在完成上述操作前查看日志
重启系统 再次查看日志
日志不被保存
完成上述操作后再次重启系统可以看到日志是被保存下来的

#####rsyslog
服务名词 rsyslog.service
日志存放
/var/log/messages #系统服务日志，常规信息，服务报错
/var/log/secure #系统认证信息日志
/var/log/mailing #系统邮件日志信息
/var/log/cron #系统定时任务信息
/var/log/boot.log #系统启动日志信息

配置文件：/etc/rsyslog.confg
可以通过修改该配置文件来自定义日志采集路径
vim /etc/rsyslog.confg
添加
日志类型.日志级别 日志存放路径
[ * . * ] /var/log/westos #把系统中所有级别的日志存放到westos文件中
[ * . * ];authpriv.none /var/log/westos #把系统中所有级别的日志存放到westos文件中,但authpriv类型不存放到westos中

日志类型
auth #用户认证
authpriv#服务认证
cron #定时任务
kern #内核类型
mail #邮件类
news #系统更新信息
user #用户

日志级别
debug #程序排错
info #程序常规运行信息
notice #重要信息普通日志
warning #程序警告
err #程序报错
crit #严重级别 会导致系统软件不能正常工作
alert #系统中需要立即修改的信息
emerg #系统的严重问题日志
none #不采集

发送本机日志到远程主机

修改 接收方下的/etc/rsyslog.conf
第19,20行 为可运行

在发送方的/etc/rsyslog.conf中
添加需要发送的日志
[* . *] @接收方ip地址

##如何更改接受端接收日志的格式
在/etc/rsyslog,conf中 重开一行添加
$template westos,"%FROMHOST-IP% %timegenerated% %syslogtag% %msg%\n"

westos #自己定义的格式名称
%FROMHOST-IP% #日志来源主机ip
%timegenerated% #日志生成时间
%syslogtag% #日志生成服务
%msg%" #显示日志内容
\n #换行

##timedatectl
修改系统时间
timedatectl会显示当前时间

timedatectl set-time “2021-01-21 10:00:00” 修改系统时间为2021年1月1日 10：00：00
timedatectl list-timezones 显示系统的所有时区
timedatectl set-timezone “时区名“ #修改系统时区

同步系统时间

修改目标服务器文件（服务端） /etc/chrony.conf
第23行上下的
allow ip 为0.0.0.0/0 #表示所有ip都可同步
26行上下的
local staratu 10 为可用 #时间权限等级
重启chronyd.service 服务

修改需要同步时间的服务器文件（客户端）

第3行
pool ******** iburst##修改为
pool 目标服务器ip iburst##同步到目标服务器的时间
重启chronyd.service 服务

同步完成
使用clock -w 同步时间到硬件时间