一.系统采集日志的查看
日志查看之前可清空之前无用日志并重启服务
这样查看的日志以重新启动后开始采集
二.查看服务普通信息 cat /var/log/message
服务认证信息 /var/log/secure
邮件服务日志/var/log/maillog
定时服务/var/log/cron
启动日志 /var/log/boot.log
管理日志采集规则 vim /etc/rsyslog.conf
三.设定日志采集格式
修改配置 vim /etc/rsyslog.conf
timegenerated FORMHOST-IP syslogtag msg
时间 来源 内容 换行
重启 systemctl restart rsyslog.service
查看日志格式 cat /var/log/messages
四.日志同步
实验之前:打开多个窗口 ctrl shift T
修改 node1 node2
hostnamectl set-hostname node1.exampele.com
然后分别连接 ssh root@172.25.254.129
ssh root@172.25.254.229
本实验设定node 1(129) 为接受服务器
文件不知道怎么操作 man
关键词 /remote
(一) 接收端
1.关闭主机防火墙: systmctl stop firewalld
2.修改配置文件vim /etc/rsyslog.conf
15 16 行原始文件如下:
去掉注释
$ModLoad imudp 日志接收插件
$UDPServerRun 514 日志接收插件使用端口
重启systemctl restart rsyslog.service
删除之前多余信息>/var/log/messages
(二)发送端
node 2
修改配置文件vim /etc/rsyslog.conf
通过UDP协议把日志送往172.25.254.129 主机
重启systemctl restart rsyslog.service
删除之前多余信息>/var/log/messages
查看 cat /var/log/messages
logger westos (logger 日志发送)
(三)测试
再在172.25.254.129中查看 watch -n 1 cat /var/log/messages
五.日志分析工具journal
查看日志前五行(最近的五行): journalctl -n 5
查看09:00-16:00 的日志
journalctl --since 09:00 --until 16:00
查看报错日志: journalctl -p err
显示日志能够使用的详细进程参数
对于sytemed-journald 管理
默认情况下此程序会忽略重启前的日志信息,如不忽略: