系统中的日志管理及优化

目录

实验环境介绍

journal日志查看工具的使用

利用systemd-journal永久储存日志。

rsyslog日志的采集规则

日志远程同步方法

日志采集格式的设定

定义日志采集格式

手动管理系统时间

利用时间同步服统一idc机房时间

---

实验环境介绍

 需要两台主机并且实现远程通信。在IP地址配置好之后：

 nmcli connection reload 
 nmcli connection up ens160 

ping 192.168.23.88

 

 nmcli connection reload 
 nmcli connection up ens160 

ping 192.168.23.99

journal日志查看工具的使用

服务名称 ： systemd - journald.service

journalctl

默认日志存放路径 ： / run / log

journalctl	-n 3	日志的最新3条
	--since "2020-05-01 11:00:00"	显示11：00后的日志
	--until "2020-05-01 11:05:00"	显示日志到11：05
	-o short	设定日志的显示方式 # short 经典模式显示日志 # verbose 显示日志的全部字节 # export 适合传出和备份的二进制格式 # json js 格式显示输出
	-p 4	显示制定级别的日志 # 0 emerg 系统的严重问题日志 # 1 alert 系统中立即要更改的信息 # 2 crit 严重级别会导致系统软件不能正常工作 # 3 err 程序报错 # 4 warning 程序警告 # 5 notice 重要信息的普通日志 # 6 info 普通信息 # 7 debug 程序拍错信息
	-F PRIORITY	查看可控日志级别
	-u sshd	指定查看服务（以sshd为例）
	--disk-usage	查看日志大小
	--vacuum-size=1G	设定日志存放大小
	--vacuum-time=1W	日志在系统中最长存放时间
	-f	监控日志

 journalctl

 输入‘/关键字’可以搜索相关内容，高亮显示，n向上匹配；N向下匹配。按q退出

查看最新的几条日志 

 journalctl  -n 3

查询指定时间段的日志 

 journalctl --since "2:00:00" --until "3:00:00"

用全字符的方式显示日志

 journalctl -o verbose                       

 查看日志大小

 journalctl --disk-usage 

利用systemd-journal永久储存日志。

系统中默认日志在 :/ run / log / journal 中

默认方式在系统重启后日志会被清理要永久保存日志请完成以下操作 ：

mkdir  / var / log / journal

chgrp systemd - journal   / var / log / journal

chmod 2775   / var / log / journal

systemctl restart systemd - journald.service

当服务重启日志存放路径会被制定到 ： / var / log / journal

 这样即使电脑重启之后日志依然会存在。

rsyslog日志的采集规则

服务名称 ： rsyslog.service 日志存放 ：

/ var / log / messages                               # 系统服务日志 ， 常规信息 ， 服务报错

/ var / log / secure                                    # 系统认证信息日志

/ var / log / maillog                                    # 系统邮件日志信息

/ var / log / cron                                        # 系统定时任务信息

/ var / log / boot. log                                   #系统启动日志信息

配置文件 ： / etc / rsyslog.conf

 编辑配置文件

 vim /etc/rsyslog.conf 

 将系统中的任何类型的任何级别日志存放到/var/log/westos中

 systemctl restart rsyslog.service 

 

日志类型 . 日志级别                  日志存放路径

*.*                                          / var / log / westos        ## 把系统中所有级别的日志存放到 westos 中

*.* ;authpriv.none                 / var / log / westos       ## 把系统中所有级别的日志存放到 westos 中

                                                                           ## 但是 authpriv 不存放到 westos 中

                                         （在存放路径前加“-”表示实时采集日志信息）

日志类型	auth	用户认证
	authpriv	服务认证
	cron	时间任务
	kern	内核类型
	mail	邮件
	news	系统更新信息
	user	用户
日志级别	debug	程序排错信息
	info	程序常规运行信息
	notice	重要信息的普通日志
	waring	程序警告
	err	程序报错
	crit	严重级别会导致系统软件不能正常工作
	alert	系统中立即要更改的信息
	emerg	系统的严重问题日志
	none	不采集

日志远程同步方法

 确定一台日志的接受方和发送方，（现在以接受方1921.168.23.88主机one，发送方192.168.23.99主机two为例）注意两方的火墙均需要关闭！

在发送方主机中编辑配置文件：

vim /etc/rsyslog.conf 

systemctl restart rsyslog.service 

 以UDP方式发送，输入一个@；以TCP方式发送，输入两个@@。

在日志接收方 

19 module(load = "imudp")                           ## 打开日志接受插件

20 input(type = "imudp" port = " 514 ")             ## 指定插件使用接口

 在日志的发送方：

日志就会出现在日志的接受方：

日志采集格式的设定

 vim /etc/rsyslog.conf

systemctl restart rsyslog.service 

 

定义日志采集格式

$template WESTOS, " %FROMHOST-IP% %timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n"

#WESTOS ： 格式名称

# %FROMHOST-IP% ： 日志来源主机 IP

# %timegenerated% ： 日志生成时间

# %syslogtag% ： 日志生成服务

# %msg% ： 日志内容

# \ n ： 换行

如果想采用WESTOS格式采集日志信息，有两种办法:(在配置文件中编辑)

*.* ;authpriv.none / var / log / westos;WESTOS

module(load = "builtin : omfile" Template = "WESTOS_FORMAT") ## 默认采用 WESTOS_FORMAT 格式

手动管理系统时间

查看系统时间

 timedatectl

如果想要修改时间，首先要关闭系统同步时间服务：

systemctl stop chronyd.service 

timedatectl set-time "2000-1-16 15:30:00"

timedatectl set-timezone "Europe/London"

 

利用时间同步服统一idc机房时间

如果想将自己的时间同步出去，则要修改时间配置文件。（火墙保持关闭）时间发送方

vim /etc/chrony.conf

systemctl restart chronyd.service

 在时间同步方

vim /etc/chrony.conf

systemctl restart chronyd.service

chronyc sources -v