1.rsyslog
此服务时用来采集系统日志的,它不产生日志,它只是起到采集作用
2.rsyslog的管理
/var/log/message | 服务信息日志 |
/var/log/secure | 系统登陆日志 |
/var/log/corn | 定时任务气质 |
/var/log/maillog | 邮件日志 |
/ var/log/boot.log | 系统启动日志 |
什么类型的日志。什么级别的日志 /var/log/file ##日志采集规则
日志类型分类:
auth | pam产生的日志 |
authpriv | ssh,ftp等登陆信息的验证信息 |
cron | 时间任务相关 |
kern | 内核 |
lpr | 打印 |
邮件 | |
mark(syslog)-rsyslog | 服务内部的信息,时间标识 |
news | 新闻组 |
user | 用户程序产生的相关信息 |
uucp | unix to unix copy, unix主机之间相关的通讯 |
local 1~7 | 自定义的日志设备 |
日志级别分类:
debug | ##有调式信息的,日志信息最多 |
info | 般信息的日志,最常用 |
notice | 最具有重要性的普通条件的信息 |
warning | 警告级别 |
err | 错误级别,阻止某个功能或者模块不能正长工作的信息 |
crit | 严重级别 |
alert | 要立刻修改的信息 |
emerg | 内核崩溃等严重信息 |
none | 么都不记录 |
注意;从上到下,级别从地道高,记录的信息越来越少
详细的可以查看手册: man 3 syslog
3.日志的远程同步
在日志发送方完成以下步骤:
vim /etc/rsyslog.conf
将*.* @172.25.254.247添加到/etc/rsyslog.conf中 如下图
@表示udp协议发送,@@表示tcp协议发送
然后用命令systemctl restart rsyslog刷新
在日志接收方完成以下步骤:
vim /etc/rsyslog.conf
把/etc/rsyslog.conf文件的15,16行前面的#去掉,使命令生效
15 $ModLoad imudp 为日志接受模块
16 $UDPServerRun 514 为开启接受端口
再用以下两个命令
关闭火墙 systemctl stop firewalld
设定火墙开机关闭 systemctl disable firewalld
然后用命令systemctl restart rsyslog刷新
测试:
在发送方和接受方都清空日志文件
清空命令 > /var/log/messages
在日志的发送方
logger test
用命令cat /var/log/messages查看
在日志接受方查看 cat /var/log/messages
如图此实验中发送方是desktop(172.25.254.113)接受方是server(172.25.254.213)当完成上述条件后,当我们在发送方发一个命令logger test时会在接受方接受到
日志采集格式的设定
在 /etc/rsyslog.conf中修改命令为$template WESTOS, “%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n"
再加上命令*.* /var/log/westos;LOGFMT
%timegenerated% 表示显示日志时间
%FROMHOST-IP% 表示显示主机ip
%syslogtag% 表示日志记录目标
\n 为换行
%msg% 为日志内容
时间同步服务
服务名称
chronyd
我们需要完成以下步骤(desktop为服务端,server为客户端)
在服务端:
vim /etc/chrony.conf
在/etc/chrony.conf文件中把22行改为allow 172.25.254.0/24
allow 172.25.254.0/24 表示允许那些客户端来同步本机时间
然后在/etc/chrony.conf文件中把29行前面的#去掉
local stratum 10 表示本纪不同步任何主机的时间,本纪作为时间元
用命令 systemctl restart chronyd 刷新
更改当前时区为东8区 timedatectl set-timezone Asia/Shanghai
在客户端:
vim /etc/chrony.conf
在/etc/chrony.conf文件中将3,4,5,6行删除然后在第三行写入新命令 server 172.25.254.200 iburst 如图
server 172.25.254.200 iburst 表示本纪立即同步200主机的时间
然后用命令systemctl restart chronyd刷新
再更改当前时区为东8区timedatectl set-timezone Asia/Shanghai
测试:
在客户端输入命令 chronyc sources -v
当出现图中的现象即左下角的172.25.254.113前面出现^*符号 表示时间同步成功
5.timedatectl命令
管理系统时间 timedatectl
timedatectl staus | 显示当前时间信息 |
timedatectl set-time | 设定当前时间 |
timedatectl set-timezone | 设定当前时区 |
timedatectl set-local-rtc 0|1 | 设定是否使用utc时间 |
timedatectl list-timezone | 查看支持的所有时区 |
journal
1.日志查看工具 journalctl
journalctl n 3 | 查看最近三条日志 |
journalctl -p err | 查看错误日志 |
journalctl -o verbose | 查看日志的详细参数 |
journalctl --since | 查看从什么时间开始的日志 |
journalctl --until | 查看到什么时间为止的日 |
2.如何使用systemd-ournald保存系统日志
默认systemd-journald时不保存系统日志到硬盘的
那么关机后再次开机只能看到本次开始之后的日志上以次关机之前的日志是无法查看的
当用命令ls /var/log/journal查看/var/log/journal文件时出现如图所示蓝色字符946cb0e817ea4_________表示建立的/var/log/journal文件可以保存系统日志到硬盘,那么关机后再次开机能看到上次关机之前的日志