Linux系统拥有非常灵活和强大的日志功能，可以保存几乎所有的操作记录，并可以从中检索出我们需要的信息。大部分Linux发行版默认的日志守护进程为 syslog，位于 /etc/syslog 或 /etc/syslogd 或/etc/rsyslog.d，默认配置文件为 /etc/syslog.conf 或 rsyslog.conf，任何希望生成日志的程序都可以向 syslog 发送信息。下面小编主要帮大家了解系统日志的分类及管理。

1.系统日志默认分类

/var/log/messages ##系统服务及日志，包括服务的信息，报错等等

/var/log/secure ##系统认证信息日志

/var/log/maillog ##系统邮件服务信息

/var/log/cron ##系统定时任务信息

/var/log/boot.log ##系统启动信息

2.日志管理服务rsyslog

1.rsyslog负责采集日志和分类存放日志

2.rsyslog日志分类

vim /etc/rsyslog.conf##主配置文件

服务.日志级别 /存放文件

*.* /var/log/westos

systemctl restart rsyslog

如下格式：

日志设备(类型).(连接符号)日志级别   日志处理方式(action)

日志设备(可以理解为日志类型):

auth         ##pam产生的日志

authpriv     ##ssh,ftp等登录信息的验证信息

cron         ##时间任务相关

kern         ##内核

lpr         ##打印

mail         ##邮件

mark(syslog)–rsyslog##服务内部的信息,时间标识

news         ##新闻组

user         ##用户程序产生的相关信息

uucp         ##unix to unix copy, unix主机之间相关的通讯

local 1~7    ##自定义的日志设备

日志级别：

debug        ##有调式信息的，日志信息最多

info         ##般信息的日志，最常用

notice       ##最具有重要性的普通条件的信息

warning      ##警告级别

err          ##错误级别，阻止某个功能或者模块不能正常工作的信息

crit         ##严重级别，阻止整个系统或者整个软件不能正常工作的信息

alert        ##需要立刻修改的信息

emerg        ##内核崩溃等严重信息

none         ##什么都不记录

##注意：从上到下，级别从低到高，记录的信息越来越少

##详细的可以查看手册: man 3 syslog

连接符号：

.xxx: 表示大于等于xxx级别的信息

.=xxx：表示等于xxx级别的信息

.!xxx：表示在xxx之外的等级的信息

3.日志同步

systemctl stop firewalld##关闭两台主机的火墙

配置日志发送方

*.*             @172.25.254.144##通过udp协议把日志发送到144主机，@udp，@@tcp

配置日志接受方

15 $ModLoad imudp##日志接收插件

16 $UDPServerRun 514##日志接收插件使用端口

netstat -anulpe | grep rsyslog

udp        0      0 0.0.0.0:514             0.0.0.0:*                           0          122073     32654/rsyslogd

udp6       0      0 :::514                  :::*                                0          122074     32654/rsyslogd

-a ##all

-n ##不做解析

-t ##tcp

-u ##udp

-p ##进程名称

-e ##扩展信息

测试

> /var/log/messages## 两边都作日志清除

logger test message##日志发送方

tail -f /var/log/message##日志接收方

####日志采集格式####

$template WESTOS, "%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n"

%timegenerated%##显示日志时间

%FROMHOST-IP%##显示主机ip

%syslogtag%##日志记录目标

%msg%##日志内容

\n ##换行

4.日志分析工具journal

systemd-journald##进程名称

journalctl ##直接执行，浏览系统日志

-n 3 ##显示最新3条

-p err ##显示报错

-f ##监控日志

--since --until ## --since "[YYYY-MM-DD] [hh:mm:ss]" 从什么时间到什么时间的日志

-o verbose ##显示日志能够使用的详细进程参数

##_SYSTEMD_UNIT=sshd.service服务名称

##_PID=1182进程pid

对systemd-journald管理

##默认情况下此程序会忽略重启前的日志信息，如不忽略：

mkdir /var/log/journal

chown root:systemd-journal /var/log/journal

chmod 2755 /var/log/journal

killall -1 systemd-journald

ls /var/log/journal/4513ad59a3b442ffa4b7ea88343fa55f

system.journal user-1000.journal

5.时间同步

timedatectl命令

timedatectl status ##显示当前时间信息

set-time ##设定当前时间

set-timezone ##设定当前时区

set-local-rtc 0|1 ##设定是否使用utc时间

1.服务端

yum install chrony -y##安装服务

vim /etc/chrony.conf##主配置文件

21 # Allow NTP client access from local network.

22 allow 172.25.0.0/24##允许谁去同步我的时间

27 # Serve time even if not synchronized to any NTP server.

28 local stratum 10##不去同步任何人的时间，时间同步服务器级别

systemctl restart chronyd

systemctl stop firewalld

2.客户端

vim /etc/chrony.conf

3 server 0.rhel.pool.ntp.org iburst

4 server 1.rhel.pool.ntp.org iburst====> server ntpserverip iburst

5 server 2.rhel.pool.ntp.org iburst====>

6 server 3.rhel.pool.ntp.org iburst

systemctl restart chronyd