1.rsyslog
此服务用来采集系统日志,他不产生日志,只起到采集的作用
2.rsyslog的管理
/var/log/messages //服务信息日志
/var/log/secure //系统登陆日志
/var/log/cron //定时任务日志
/var/log/maillog //邮件日志
/var/log/boot.log //系统启动日志
指定日志采集路径:
什么类型的日志.什么级别的日志 /var/log/file #日志采集规则
*.* 所有类型的所有级别
日志类型:
auth //pam产生的日志
authpriv //ssh,ftp等登陆信息的验证信息
cron //时间人物相关
kern //内核
lpr //打印
mail //邮件
mark(syslog)-rsyslog //服务内部的信息,时间标示
news //新闻组
user //用户程序产生的相关信息
uucp //unix to unix copy,unix主机之间相关的通讯
local 1~7 //自定义的日志设备
日志的级别:
debug //有调试信息的,日志信息最多
info //一般信息的日志,最常用
notice //最具有重要性的普通条件的信息
warning //警告级别
err //错误级别,阻止某个功能和模块不能正常工作的信息
crit //严重级别,阻止整个系统或整个软件不能正常工作的信息
alert //需要立即修改的信息
emerg //内核崩溃等严重的信息
none //什么都不记录
- 注意:
从上到下,级别从低到高,记录的信息越来越少
详细的可以查看手册:man 3 syslog
定向采集:
目的:
把系统中所有的日志采集到/var/log/westos文件中
操作:
vim /etc/rsyslog.conf
*.* /var/log/westos //编辑文件,指定采集信息存放位置
systemctl restart rsyslog //重启服务
测试:
systemctl restart sshd //生成日志
cat /var/log/westos //此文件中出现了日志信息
3.日志的远程同步
(1)在日志的发送方:
vim /etc/rsyslog.conf
*.* @172.25.60.2 //"@"表示udp协议发送,“@@”表示tcp协议发送
systemctl restart rsyslog
(2)在日志的接收方:
vim /etc/rsyslog.conf
15 $ModLoad imudp //日志接收模块
16 $UDPServerRun 514 //开启接收端口
systemctl restart rsyslog
systemctl stop firewalld //关闭防火墙
systemctl disable firewalld //设定防火墙开机关闭
(3)测试:
在发送方和接收方都清空日志文件:
> /var/log/messages
> /etc/rc.d/rc.local
在日志的发送方:
logger test
cat /var/log/messages //查看日志已经生成
在日志的接收方:
cat /var/log/messages
- 发送方
- 接受方
- 查看
4.日志采集格式设置
$template YLZ, “%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n”
注:
%tomegenerated% //显示日志时间
%FROMHOST-IP% //显示主机IP
%syslogtag% //日志记录目标
%msg% //日志内容
\n //换行
格式设置文件:vim /etc/rsyslog.conf
(1)在指定的日志中采用特定的格式
*.* /var/log/all_messages;YLZ //在指定的日志中采用YLZ格式
cat /var/log/all_messages
- 查看文件中日志的格式,与设置的相同
(2)修改系统默认日志采集格式
$ActionFileDefaultTemplate YLZ //修改系统默认日志采集格式为YLZ
cat /var/log/messages
5.时间同步服务
服务:chronyd
- 在服务端:
vim /etc/chrony.conf
22 allow 172.25.60.0/24 //允许那些客户端来同步本机时间
29 local stratum 10 //本机不同步任何主机的时间,本机作为时间源
systemcal restart chronyd //重启服务
systemctl stop firewalld //关闭防火墙
- 在客户端:
vim /etc/chronyd.conf
server 172.25.60.2 iburst //本机同步172.25.60.2主机的时间
systemcal restart chronyd //重启服务
systemctl stop firewalld //关闭防火墙
- 测试:
说明同步主机ip为172.25.60.2的时间