系统日志管理

1.rsyslog  

   此服务时用来采集系统日志的，它不产生日志，它只是起到采集作用

2.rsyslog的管理

/var/log/message	服务信息日志
/var/log/secure	系统登陆日志
/var/log/corn	定时任务气质
/var/log/maillog	邮件日志
/ var/log/boot.log	系统启动日志

什么类型的日志。什么级别的日志     /var/log/file  ##日志采集规则

日志类型分类：

auth	pam产生的日志
authpriv	ssh，ftp等登陆信息的验证信息
cron	时间任务相关
kern	内核
lpr	打印
mail	邮件
mark(syslog)-rsyslog	服务内部的信息，时间标识
news	新闻组
user	用户程序产生的相关信息
uucp	unix to unix copy， unix主机之间相关的通讯
local 1~7	自定义的日志设备

日志级别分类：

debug	##有调式信息的，日志信息最多
info	般信息的日志，最常用
notice	最具有重要性的普通条件的信息
warning	警告级别
err	错误级别，阻止某个功能或者模块不能正长工作的信息
crit	严重级别
alert	要立刻修改的信息
emerg	内核崩溃等严重信息
none	么都不记录

 

注意;从上到下，级别从地道高，记录的信息越来越少
详细的可以查看手册： man 3 syslog

3.日志的远程同步
在日志发送方完成以下步骤：
vim /etc/rsyslog.conf
将*.*     @172.25.254.247添加到/etc/rsyslog.conf中  如下图

         @表示udp协议发送，@@表示tcp协议发送

然后用命令systemctl restart rsyslog刷新

在日志接收方完成以下步骤：
vim /etc/rsyslog.conf

把/etc/rsyslog.conf文件的15,16行前面的#去掉,使命令生效

15  $ModLoad imudp     为日志接受模块
16  $UDPServerRun 514   为开启接受端口
           再用以下两个命令

                          关闭火墙                      systemctl   stop   firewalld  
                          设定火墙开机关闭      systemctl  disable  firewalld 

然后用命令systemctl restart rsyslog刷新

测试：
在发送方和接受方都清空日志文件
清空命令   > /var/log/messages

在日志的发送方
logger  test

用命令cat /var/log/messages查看

在日志接受方查看  cat /var/log/messages

如图此实验中发送方是desktop(172.25.254.113)接受方是server(172.25.254.213)当完成上述条件后,当我们在发送方发一个命令logger test时会在接受方接受到

日志采集格式的设定

在 /etc/rsyslog.conf中修改命令为$template WESTOS， “%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n"

再加上命令*.*   /var/log/westos;LOGFMT
%timegenerated%       表示显示日志时间
%FROMHOST-IP%      表示显示主机ip
%syslogtag%                表示日志记录目标
\n                                    为换行
%msg%                         为日志内容

时间同步服务
服务名称
chronyd

我们需要完成以下步骤(desktop为服务端,server为客户端)

在服务端：
vim  /etc/chrony.conf

在/etc/chrony.conf文件中把22行改为allow 172.25.254.0/24  

allow 172.25.254.0/24    表示允许那些客户端来同步本机时间

然后在/etc/chrony.conf文件中把29行前面的#去掉

local stratum 10     表示本纪不同步任何主机的时间，本纪作为时间元
用命令 systemctl restart chronyd 刷新
更改当前时区为东8区  timedatectl set-timezone Asia/Shanghai

在客户端：
vim /etc/chrony.conf
在/etc/chrony.conf文件中将3,4,5,6行删除然后在第三行写入新命令 server 172.25.254.200 iburst   如图

server 172.25.254.200 iburst  表示本纪立即同步200主机的时间
然后用命令systemctl restart chronyd刷新
 再更改当前时区为东8区timedatectl set-timezone Asia/Shanghai
测试：
在客户端输入命令  chronyc  sources -v

当出现图中的现象即左下角的172.25.254.113前面出现^*符号 表示时间同步成功

5.timedatectl命令
管理系统时间    timedatectl

timedatectl   staus	显示当前时间信息
timedatectl   set-time	设定当前时间
timedatectl   set-timezone	设定当前时区
timedatectl   set-local-rtc 0|1	设定是否使用utc时间
timedatectl     list-timezone	查看支持的所有时区

journal
1.日志查看工具     journalctl  
       

journalctl       n 3	查看最近三条日志
journalctl      -p  err	查看错误日志
journalctl     -o  verbose	查看日志的详细参数
journalctl     --since	查看从什么时间开始的日志
journalctl     --until	查看到什么时间为止的日

2.如何使用systemd-ournald保存系统日志
默认systemd-journald时不保存系统日志到硬盘的
那么关机后再次开机只能看到本次开始之后的日志上以次关机之前的日志是无法查看的

当用命令ls /var/log/journal查看/var/log/journal文件时出现如图所示蓝色字符946cb0e817ea4_________表示建立的/var/log/journal文件可以保存系统日志到硬盘,那么关机后再次开机能看到上次关机之前的日志