Unit9.系统日志管理
发布日期:2022-02-12 16:06:48 浏览次数:1 分类:技术文章

本文共 3381 字,大约阅读时间需要 11 分钟。

#######系统日志管理#######
#1.rsyslog# ##此服务时用来采集系统日志的,他不产生日志,只是起到采集作用

#2.rsyslog的管理#
#vim /etc/rsyslog.conf
/var/log/messages ##服务信息日志
/var/log/secure ##系统登陆日志
/var/log/cron ##定时任务日志
/var/log/maillog ##邮件日志
/var/log/boot.log ##系统启动日志

在这里插入图片描述

指定日志采集路径

什么类型的日志.什么级别的日志 /var/log/file ##日志采集规则

##日志类型分为:
auth ##pam产生的日志
authpriv ##ssh,ftp等登录信息的验证信息
cron ##时间任务相关
kern ##内核
lpr ##打印
mail ##邮件
mark(syslog)–rsyslog ##服务内部的信息,时间标识
news ##新闻组
user ##用户程序产生的相关信息
uucp ##unix to unix copy, unix主机之间相关的通讯
local 1~7 ##自定义的日志设备

##日志级别分为:
debug ##有调式信息的,日志信息最多
info ##般信息的日志,最常用
notice ##最具有重要性的普通条件的信息
warning ##警告级别
err ##错误级别,阻止某个功能或者模块不能正常工作的信息
crit ##严重级别,阻止整个系统或者整个软件不能正常工作的信息
alert ##需要立刻修改的信息
emerg ##内核崩溃等严重信息
none ##什么都不记录

##注意:从上到下,级别从低到高,记录的信息越来越少
##详细的可以查看手册: man 3 syslog

3.日志的远程同步

在日志发送方:
vim /etc/rsyslog.conf
. @172.25.254.200 ##"@“表示udp协议发送,”@@"表示tcp协议发送

systemctl restart rsyslog

在日志接收方:
vim /etc/rsyslog.conf
15 $ModLoad imudp ##日志接收模块
16 $UDPServerRun 514 ##开启接收端口

systemctl restart rsyslog
systemctl stop firewalld ##关闭火墙
systemctl disable firewalld ##设定火墙开机关闭

测试:
在发送放和接受放都清空日志文件

>/var/log/messages

在日志的发送方
logger test

cat /var/log/messages ##查看日志已经生成

在日志接收方查看
cat /var/log/messages

###日志采集格式的设定### 在日志的接收方做
vim /etc/rsyslog.conf

$template LOGFMT, “%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n”

%timegenerated% ##显示日志时间
%FROMHOST-IP% ##显示主机ip
%syslogtag% ##日志记录目标
%msg% ##日志内容
\n ##换行

. /var/log/westos;LOGFMT

cat /var/log/westos

####时间同步服务####
#先改client主机时间 date 11111111
服务名称
chronyd

##在服务端:
vim /etc/chrony.conf
22 allow 172.25.254.0/24 ##允许那些客户端来同步本机时间
29 local stratum 10 ##本机不同步任何主机的时进,本机作为时间源

systemctl restart chronyd
timedatectl set-timezone Asia/Shanghai ##更改当前时区为东8区

##在客户端:
vim /etc/chrony.conf
server 172.25.254.200 iburst ##本机立即同步200主机的时间

systemctl restart chronyd
timedatectl set-timezone Asia/Shanghai ##更改当前时区为东8区

#测试:
#在客户端
[root@foundation30 ~]# chronyc sources -v
210 Number of sources = 1

.-- Source mode ‘^’ = server, ‘=’ = peer, ‘#’ = local clock.
/ .- Source state ‘*’ = current synced, ‘+’ = combined , ‘-’ = not combined,
| / ‘?’ = unreachable, ‘x’ = time may be in error, ‘~’ = time too variable.
|| .- xxxx [ yyyy ] +/- zzzz
|| Reachability register (octal) -. | xxxx = adjusted offset,
|| Log2(Polling interval) --. | | yyyy = measured offset,
|| \ | | zzzz = estimated error.
|| | |
MS Name/IP address Stratum Poll Reach LastRx Last sample

^* foundation200.ilt.example 10 6 17 36 -3096ns[ -102us] +/- 1417us

#####timedatectl 命令#####
timedatectl ##管理系统时间
timedatectl status ##显示当前时间信息
set-time ##设定当前时间
set-timezone ##设定当前时区
set-local-rtc 0|1 ##设定是否使用utc时间
list-timezone ##查看支持的所有时区
timedatectl set-time “2018-08-09 12:00:00”
biso时间初始化为 lundun时间 bios time + timezone(系统时间)
cat /etc/adjtime
#####journal#####

1.journalctl ##日志查看工具
-n 3 ##查看最近3条日志
-p err ##查看错误日志
-o verbose ##查看日志的详细参数 (举例sshd,重启pid会变,查看原来pid的日志)journalctl _PID=827 _COMM=sshd
–since ##查看从什么时间开始的日志
–until ##查看到什么时间为止的日志
journalctl --since “2018-11-11 12:00” --until “2018-11-11 12:01” (查看时间段内的日志)

journalctl是查看内存中日志,不存储

2.如何使用systemd-journald保存系统日志
默认systemd-journald是不保存系统日志到硬盘的
那么关机后再次开机只能看到本次开机之后的日志
上以次关机之前的日志是无法查看的
#重启演示

mkdir /var/log/journal
chgrp systemd-journal /var/log/journal
chmod g+s /var/log/journal
ps aux | grep systemd-journal
killall -1 systemd-journald

ls /var/log/journal
946cb0e817ea4adb916183df8c4fc817

ll 946cb0e817ea4adb916183df8c4fc817 #看目录时间,这个时间之后的都记录,重启测试

转载地址:https://blog.csdn.net/weixin_45426401/article/details/98850863 如侵犯您的版权,请留言回复原文章的地址,我们会给您删除此文章,给您带来不便请您谅解!

上一篇:Unit5.用户管理
下一篇:10. linux下的网络配置

发表评论

最新留言

能坚持,总会有不一样的收获!
[***.36.148.204]2022年06月21日 00时34分12秒