1.journald服务
(重启后消失,只可查看开机后日志)
- 企业七之后版本拥有此服务 systemd -journald.service
- 日志查看命令:journalctl
- 默认日志存放路径: /run/log
1)journalctl命令的用法
-
journalctl ##日志服务
-
journalctl -n 3 ##日志的最新三条
-
journalctl --since “10:30:00” ##显示10:30后的日志
-
journalctl --since “10:30:00” --until “10:40:00”##显示10:30——10:40的日志
-
journalctl -o ##指定参数查看
-
journalctl -o short ##经典模式显示日志
-
journalctl -o verbose ##显示日志全部字节
-
journalctl -o export ##适合传出和备份的二进制格式
-
journalctl -o json ##js格式显示输出
-
-
journalctl -p ##显示指定级别的日志
-
journalctl -p 0 ## emerg 系统严重问题日志(一般为无)
-
journalctl -p 1 ##alert 系统中要立即更改的信息(一般为无)
-
journalctl -p 2 ##crit 严重级别会导致系统软件不能正常工作
-
journalctl -p 3 ##err 程序报错
-
journalctl -p 4 ##warning 程序警告
-
journalctl -p 5 ##notice 重要信息的普通日志
-
journalctl -p 6 ##info 普通信息
-
journalctl -p 7 ##debug 程序拍错信息
-
-
journalctl -F PRIORITY ##查看可控日志级别
-
journalctl -u sshd ##指定查看服务
-
journalctl --disk-usage ##查看日志大小
-
journalctl --vacuum-size=2G ##设定日志存放大小
-
journalctl --vacuum-time=1w ##日志在系统中最长存放时间
-
journalctl -f ##监控日志
-
journalctl _PID=3603 ##指定进程id查看
2)用journalctl服务永久存放日志
-
日志默认保存:/run/log/journal
-
建立存储日志的硬盘目录:
实验准备
mkdir /var/log/journal/
chgrp systemd-journal /var/log/journal/
chmod2775 /var/log/journal/
cd /var/log/journal/
systemctl restart systemd-journald.service
-
journalctl ##查看日志
-
date
-
重启 reboot
-
journalctl ##可查看到重启前日志仍在
-
rm -rf 日志记录名 ##删除日志记录
- systemctl restart systemd-journald.service
- journalctl ##无法查看开机前日志
2.rsyslog
1.rsyslog 系统日志收集服务
实验前准备:
创建第二台虚拟机
westos-vmctl create westos_node2
并为其创建IP地址
在真机中将网桥连接方式改为桥接
可ping 172.25.254.173 即为成功
远程登录两台虚拟机并为其改名以便区分
-
rsyslog.service ##系统日志(采集日志服务)
-
日志存放:
- /var/log/messages ##系统服务日志,常规信息,服务报错
- /var/log/secure ##系统认证信息日志
- /var/log/mailing ##系统邮件日志信息
- /var/log/cron ##系统定时任务信息
- /var/log/boot.log ##系统启动日志信息
-
配置文件:/etc/rsyslog.conf
-
systemctl status rsyslog.service ##查看服务状态
-
实验1:自定义日志采集路径
vim /etc/rsyslog.conf -
日志类型.日志级别 日志存放路径
- *.* /var/log/westos ##把系统中所有级别的日志存放到westos中
1.编辑配置文件
2.清空日志记录文件westos
3.重启日志记录服务
4.查看westos日志记录文件
- "authpriv.*/var/log/westos ##把authpriv认证信息存储到westos中
1.编辑配置文件
2.清空日志文件westos
3.重启sshd服务
4.重启日志记录服务
5.使用虚拟机node2远程登陆node1且失败,可看到失败登陆记录
- *.* /var/log/westos ##把系统中所有级别的日志存放到westos中
-
日志类型
- auth ##用户认证
- authpriv ##服务认证
- cron ##时间任务
- kern ##内核类型
- mail ##邮件
- news ##系统更新信息
- user ##用户
-
日志级别
- debug ##程序拍错信息
- info ##程序常规运行信息
- notice ##重要信息的普通日志
- waring ##程序警告
- err ##程序报错
- crit ##严重级别会导致系统软件不能正常工作
- alert ##系统中立即要更改的信息
- emerg ##系统的严重问题日志
- none ##不采集
2.如何更改日志采集样式
-
各传送方式特点:
- TCP传送 稳定安全性较高(三次握手)
- UDP传送 快速
- 本实验采用UDP传送方式
-
实验前准备:
-
接收方设置
-
发送方设置
-
-
接受方可接收发送方日志,查看接收日志之前需清空日志文件
1.定义日志采集格式
- $template WESTOS_FORMAT,"%FROMOST-IP% %timegenerate% %syslogtag%
%msg%\n" - 含义:
- #WESTOS_FORMAT 格式名称
- #%FROMHOST-IP% 日志来源主机IP
- #%timegenerate% 日志生成时间
- #%syslogtag% 日志生成服务
- #%msg% 日志内容
- #\n 换行
2.设定日志采集格式应用
- *.*; /var/log/westos;WESTOS ##将westos日志文件以WESTOS模式接收
1.接收方编辑配置文件
2.两方清空日志文件
3.发送方更新日志
4.接收方查看日志是否为编辑模式
1)接收IP地址
2)接收IP地址,时间戳,内容等信息
- 将WESTOS设置为默认格式
设置完成后所有日志文件都以WESTOS模式输出
3.timedatectl
- (东八区即比伦敦时间早八小时,西四区即比伦敦时间晚四小时)
- timedatectl set-time “2020-02-12 10:41:55” ##设定系统时间
- timedatectl list-timezones ##显示系统的所有时区
- timedatectl set-timezone “Asia/shanghai” ##设定系统时区
- timedatectl set-local -rtc 0|1 ##设定系统时间计算方式
##0表示使用utc时间计算方式
4.时间同步服务
#服务名称:chronyd.service
#配置文件:/etc/chrony.conf
-
服务端(共享时间的端口)
-
systmctl disable --now firewalld ##关闭防火墙
-
vim /etc/chrony.conf ##编辑配置文件
-
systemctl enable --now chronyd ##打开chronyd服务
-
systemctl status chronyd ##查看服务状态
-
watch -n 1 timedatectl ##监控服务端时间
-
-
客户端
-
vim /etc/chrony.conf ##编辑配置文件
-
systemctl restart chronyd ##重启chronyd服务
-
chronyc sources -v ##检测连接状态
-
watch -n 1 timedatectl ##监控时间查看与服务端是否保持一致
-
-
若RTC时间不一致:
- clock -w ##系统时间同步到硬件
- clock -s ##硬件时间同步到系统