Linux系统中关于日志的操作

关于日志的操作

一、日志的介绍

1、日志的作用：

日志可以查看一些配置文件的信息，可以用来差错。

2、日志的采集规则：

> /var/log/message   清空日志

日志的采集规则：

 vim   /etc/rsyslog.conf      查看日志的采集位置

在RULES下的位置 形式为 "           *           .          *           文件名称"

                                                  日志类型      .  日志级别     存放文件

第一个 “*"代表日志的类型

日志的类型主要包括以下几种

auth 用户登录日志（pam产生日志）

authpriv.ssh    服务认证日志（sshd认证日志）

kern   内核日志

cron   定时任务日志

lpr     打印机日志

mail    邮件日志

news   新闻

user  用户相关程序日志

local1.7     用户自定义日志

第二个“ * ” 代表日志级别

 

3、日志级别主要有：

debug      系统调式信息

info     常规信息

warning   警告信息

err   报错 （级别低，原因是系统组织了某个功能不能正常工作）

crit   报错 （级别高，阻止了整个软件或系统不能正常工作）

alert   需要立即修改的信息

emerg   内核崩溃

none   不采集任何信息

4、系统常用的日志有

/var/log/messages             所有日志级别的常规信息（不包含邮件、服务认证、定时任务）

/var/log/mail                        邮件日志

 

 5、日志的远程同步

在日志发送方：
vim /etc/rsyslog.conf
在/var/log/mseeages下一行输入
*.*       @172.25.254.200        @@表示tcp协议发送
systemctl restart rsyslog    

在日志接收方：
vim /etc/rsyslog.conf        
15 #$ModLoad imudp        日志接收模块
16 #$UDPServerRun 514        开启接受端口  （将第15、16行注释掉）

systemctl restart rsyslog       发送方接收方都需要重启
systemctl stop firewalld    关闭火墙
systemctl disable firewalld    开机关闭

测试：

清空两台主机的日志

在发送方打开test，查看发送方日志

再查看接收方日志

##在清空目录后仍然产生日志，并且与上一个日志发送方相同##

 

6、定义日志采集格式（在日志接收方）：

vim  /etc/rsyslog.conf

$template  文件名称，“日志采集格式”

例：$template  westos,"%timegenerated% %FROMHOST_IP% %syslogtag% %msg%\n"

                                                       ^                                ^                               ^                    ^       ^

                                                        1                               2                              3                    4      5

1：日志生成时间

2：日志来源主机IP

3：日志生成来源

4：日志内容

5：换行

*.*        /var/log/westos;LOGFMT

cat /var/log/westos

 

二、journalctl    

日志查看内容（无采集，如果关机不能查看关机前的内容）

 

 参数

-n  (x)           最新的x条

-f                  实时监控，ctrl+c结束监控

--since（xx:xx） --until(xx:xx)    从某时到某时

-p err           错误日志

-o  verbose  查看用户的详细参数

_pid=xxx      直接查看id为xxx的日志

#####重启之后，关机之前的日志并没有保存####

 

三、对systenmd-journald管理

默认此程序之负责对日志进行查看而不对日志进行保存和采集，关机后在开机，对日志进行查看，只能查看到开机后的日志，系统之前的日志是保存在内存中的，关机后就被清空了，那么再开机是用journalctl看不到的。

将日志保存到硬盘中

mkdir /var/log/journal

chgrp systemd-journald  /var/log/journal

chomd g+s /var/log/journal

killall -1 system-journal

journalctl -n 3

date

reboot

journalctl

服务端：vim  /etc/chrny.conf

22行：允许谁去查看

29行

重启（重启后的时间）

iburst 立即重启保存

##可以显示关机前的日志##

 

四、timedatectl命令

timedatectl set-timezones      查看所有时

 

timedatectl set-timezone Asia/shanghai

vim  /etc/adjtim

timedatectl set-local-rtc  0     UTC时间

timedatectl set-local-rtc  1     本地时间 

 

五、时间同步命令：chromy

时间同步的操作：

在服务端共享时间：

A：vim  /etc/chromy.conf

29行：local straturn 10  开启时间共享功能并设定共享级别

22行：alow 172.25.254.0/24  这个参数开气候本机不去同步别人的时间到本机，允许那些客户端访问本机共享时间。

systemctl restart chromyd

在客户端：

B：vim  /etc/chrony.conf

"seerver 172.25.254.xxx（A的ip）iburst"  下面的三行删除

systemctl restart chroryd

chrony sources -v

##两个时间已经同步，只不过一个是24小时制，一个是12个小时制##