一,系统日志默认分类
/var/log/messages : 系统服务及日志,包括服务的信息,报错等等
/var/log/secure : 系统认证信息日志
/var/log/maillog : 系统邮箱服务信息
/var/log/cron : 系统定时任务信息
/var/log/boot.log : 系统启动信息
二,日志管理服务rsyslog
rsyslog : 负责分类采集日志,和分类存放日志
rsyslog :日志分类
vim /etc/rsyslog.conf :主配置文件
服务.日志级别 存放文件
*.* /var/log/westos
*.*; authprive.none /var/log/westos
该完配置文件之后要重启服务
systemctl restart rsyslog
三,日志格式
日志设备(类型).(连接符号)日志级别 日志和处理方式
日志设备(类型)
auth : pam产生的日志
authprive : ssh,ftp等登录信息的验证信息
cron : 时间人物相关
kern : 内核相关
lpr : 打印
mail ; 邮件
mark (syslog)-rsyslog :服务内部的信息,时间标示
news 新闻组
user 用户程序产生的相关信息
uucp unix to unix copy ,unix 主机之间的相关的通讯
local 自定义的日志设备
四,日志级别
debug : 有调试信息的。日志信息最多
info : 一般信息的日志,最常用
notice : 最具有重要性的普通条件的信息
waring : 警告级别
err : 错误级别,阻止某个功能或者模块不能正常工作的信息
alert : 需要立刻修改的信息
none : 什么都不记录
注意 : 从上到下,级别有高到底,记录内容越来越少
详细的可以查看手册,man 3 syslog
五,日志同步
第一步:关闭火墙
systemctl stop firewall
第二步:配置日志发送方
*.* @172.25.254.109 通过udp 协议把日志发送到udp @@tcp
第三步:配置日志 接受方
15 $Modload imudp 日志接受插件
16 $udpserverrun 514 日志接受插件使用端口
测试
1.在两边都做:> /var/log/messages 清空原日志文件的内容
2.logger test messages 发送测试内容
3.在日志接受方查看 tail -f /var/log/messages
六,日志的采集格式
$template WESTOS , "%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n "
%timegenerated% :显示日志时间
%FROMHOST-IP% :显示主机ip
%syslogtsg% :日志记录目标
%mdg% :日志内容
\n :换行
七,日志分析工具 journal
journalctl 直接执行浏览系统日志
-n 3 显示最新三条
-p err 显示报错
-f 监控日志
--since “[YYYY-MM-DD] [hh:mm:ss]”从什么时间开始的日志
-o 显示日志能够使用的详细进程参数
对systemd-journald管理
默认此程序会忽略重启前的日志信息,如不忽略:
八,时间同步
第一步:服务端
安装服务: yum install chrony -y
第二步:修改主配置文件
服务端
然后重启服务
客户端
测试
九,timedatectl 命令
timedatectl status 显示当前时间信息
set-time 设定当前时间
set-timezone 设定当前时区
set-local-rtc 0|1 设定是否使用utc时间