为了方便查看操作记录,需要规定日志采集位置

一、日志采集规则

1.vim /etc/rsyslog.conf #打开规定采集日志的位置的配置文件,进行编辑,从而修改配置文件
*.*                        文件名称
日志类型.日志级别          日志存放文件

##日志在内存中,rsyslog.service  服务是将日志采集并整理存放在硬盘中

2.日志类型
auth              #用户登陆日志(pam产生日志)
authpriv          #服务认证日志(sshd认证)
kern              #内核日志
cron              #定时任务日志
lpr               #打印机日志
mail              #邮件日志
news              #新闻
user              #用户相关程序日志
local 1-7         #用户自定义日志

3.日志级别
debug      #系统调试信息
info       #常规信息
warning    #警告信息
err        #报错(级别低,阻止了某个功能不能正常工作)
crit      #报错(级别高,组织了整个软件或整个系统不能正常工作)
alert     #需要立即修改的信息
emerg     #内核崩溃
none      #不采集任何日志信息
notice  #最具有重要性的普通文件

auth.debug     /var/log/tutu   #将级别为debug、类型为auth的日志存储到tutu文件中

auth.*                           #所有级别、类型为auth
*.*            /var/log/log.all  #将所有级别,所有类型的日志存储到log.all文件中

4.系统常用日志

/var/log/messages   #所有日志级别的常规信息(不包含邮件,服务认证,定时任务)

/var/log/mailing    #邮件日志

/var/log/secure     #服务认证日志

/var/log/cron       #定时任务日志

注意:当清空了messages后还有日志时,是因为有脚本在运行,需要在实验前先删除rc.local

#> /etc/rc.d/rc.local

二、日志的远程同步

在日志发送方
vim /etc/rsyslog.conf
*.*      @172.25.254.127 ##日志接收方地址

systemxtl restart rsyslog

在日志接收方
#UDP与TCP
UDP:速度快,只需一次握手,安全性和稳定性差
TCP:与UDP相比,速度较慢,需三次握手,安全性和稳定性较好

vim /etc/rsyslog.conf
 14 # Provides UDP syslog reception  
 15 $ModLoad imudp   #日志接收插件

16 $UDPServerRun 514  #日志接收插件接收端口


systemctl restart rsyslog
systemctl stop firewalld     #停止防火墙
systemctl disable firewalld  #关闭防火墙

实验:node1   [root@node1 ~]# vim /etc/rsyslog.conf

node2   测试(连接node1做实验)

做实验前配置环境
[kiosk@foundation27 Desktop]$ ssh root@172.25.254.227
The authenticity of host '172.25.254.227 (172.25.254.227)' can't be established.
ECDSA key fingerprint is eb:24:0e:07:96:26:b1:04:c2:37:0c:78:2d:bc:b0:08.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '172.25.254.227' (ECDSA) to the list of known hosts.
root@172.25.254.227's password:
Last login: Fri Apr 13 21:11:41 2018
[root@localhost ~]# hostnamectl set-hostname node2.example.com
[root@localhost ~]# logout
Connection to 172.25.254.227 closed.
[kiosk@foundation27 Desktop]$ ssh root@172.25.254.227
root@172.25.254.227's password:
Last login: Fri Apr 13 21:21:14 2018 from 172.25.254.27
[root@node2 ~]#

(node1同上)

三、定义日志采集格式
vim /etc/rsyslog.conf
$template 格式名称,"日志采集格式"
*.info;mail.none;authpriv.none;cron.none                /var/log/messages;格式名称

$template tutu,"%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n"
*.info;mail.none;authpriv.none;cron.none                /var/log/messages;tutu

$template tutu,"%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n"
timegenerated% #日志生成时间
%FROMHOST-IP% #日志来源主机的IP
%syslogtag% #日志生成程序
%msg% #日志内容
\n #换行
*放图
四、journalctl日志查看工具
journalctl #日志查看工具,直接查看内存中的日志。实时监控本机日志
-n 5 #查看最新的五条日志    
-p err #查看所有日志的报错
-f #监控日志命令,用户crtl+c结束监控
--since 14:23 --until 15:00 #查看14:23到15:00之间的所有日志
-o verbose  #查看日志详细参数, 查看后可以用 _pid651    journalctl _pid651

对system-journald管理
默认此程序只负责对日志进行查看而不对日志进行保存和采集
关机后再开机,对日志进行查看,只能查看到开机后的日志
在系统之前日志因为是保存在内存中的,
所以关机后就被清空了,那么在开机时用journalctl是看不到的

如何让systemd-journald保存日志到硬盘中
mkdir /var/log/journal
chgrp systemd-journal /var/log/journal
chmod g+s /var/log/journal
killall -1 systemd-journald

journalctl -n 4
date
reboot
journalctl

五、时间同步
在服务器端共享时间:
vim /etc/chrony.conf
29  local startum 10     #开启时间共享功能并设定共享级别
                         #这个参数开气候本机不去同步别人的时间到本机
22  allow 172.25.254.0/24   #允许哪些客户来访问本机共享的时间

systemctl restart chronyd.service(chronyd)   #重启该服务

[root@node1 ~]# vim /etc/chrony.conf
[root@node1 ~]# systemctl restart chronyd.service
[root@node1 ~]# date
Sat Apr 14 03:02:38 EDT 2018
[root@node1 ~]#

在客户端:
vim /etc/chrony.conf
server 172.25.254.127 iburst

systemctl restart chronyd.service(chronyd)   #重启共享服务

chronyc sources -v   #查看共享状态

[root@node2 ~]# vim /etc/rsyslog.conf
[root@node2 ~]# date
Sat Apr 14 03:00:24 EDT 2018
[root@node2 ~]#
[root@node2 ~]# vim /etc/chrony.conf
[root@node2 ~]# systemctl restart chronyd.service
[root@node2 ~]# chronyc sources -v
210 Number of sources = 1

.-- Source mode  '^' = server, '=' = peer, '#' = local clock.
 / .- Source state '*' = current synced, '+' = combined , '-' = not combined,
| /   '?' = unreachable, 'x' = time may be in error, '~' = time too variable.
||                                                 .- xxxx [ yyyy ] +/- zzzz
||                                                /   xxxx = adjusted offset,
||         Log2(Polling interval) -.             |    yyyy = measured offset,
||                                  \            |    zzzz = estimated error.
||                                   |           |                         
MS Name/IP address         Stratum Poll Reach LastRx Last sample
===============================================================================
^* 172.25.254.127               10   6    77    48    -12us[  -37us] +/-  186us
[root@node2 ~]#

timedatectl #查看当前时区
timedatectl list-timezones #查看所有时区列表
timedatectl set-timezone Asia/Shanghai #设定当前时区为Asia/Shanghai
timedatectl set-local-rtc 0|1 #设定是否使用UTC时间
timedatectl set-time "2018-11-11 11:11:11" #设定时间为2018-11-11 11:11:11

linux——系统日志的信息、采集、查看、保存相关推荐

  1. linux 查询 lib信息,怎么查看linux是否使用 libarchive

    1.操作系统级别的共享库和基础的系统工具库 比方说libc.so, libz.so, libpthread.so等等,这些系统库会被放在/lib和/usr/lib目录下面,如果是64位操作系统,还会有 ...

  2. linux 查看手机硬件信息失败,linux下硬件信息的查看总结

    http://blog.csdn.net/zg_hover/article/details/25984642008linux应用--硬件信息查看 1, 主板信息 .查看主板的序列号 --------- ...

  3. linux下显卡信息的查看

    lspci  | grep -i vga 这样就可以显示机器上的显卡信息,比如 [root@localhost conf]# lspci | grep -i vga 01:00.0 VGA compa ...

  4. 查询linux版本信息 sp,查看Linux系统版本和内核信息

    Linux 查看Linux系统版本信息 1. 查看内核版本 1) 方法一:登录到linux执行cat /proc/version [[email protected]_32bit_ip12 ~]$ c ...

  5. linux系统查看串口占用,Linux 系统串口信息查看

    先确认系统启动的时候串口的信息. ECM_5412@chenfl:~$ dmesg | grep tty [ 0.000000] console [tty0] enabled [ 2.511678] ...

  6. linux软硬件系统观察,Linux系统在信息社会的发展

    Linux系统在信息社会的发展 随着信息技术的高速发展并迅速渗透到社会生活的各个方面,Linux日益成为人们学习.工作.生活不可缺少的基本工具,再过不了几年,不会使用Linux,就会象不识字一样使人举 ...

  7. Linux日常运维管理技巧(四)文件同步工具-rsync、Linux系统日志、dmesg命令、lastb命令查看登录失败的用户、screen工具虚拟屏幕

    目录 Linux文件同步工具-rsync Linux系统日志 dmesg命令 lastb命令 screen工具 Linux文件同步工具-rsync rsync命令是一个远程数据同步工具,可通过LAN/ ...

  8. 如何查看linux系统下的各种日志文件 linux 系统日志的分析大全

    如何查看linux系统下的各种日志文件 linux 系统日志的分析大全 日志分类: 1. 连接时间的日志 连接时间日志一般由/var/log/wtmp和/var/run/utmp这两个文件记录,不过这 ...

  9. Linux系统日志采集

    Linux系统日志采集 一. 任务描述 二. 任务目标 三. 任务环境 四. 任务分析 五. 任务实施 步骤1.操作步骤 未经许可,禁止以任何形式转载,若要引用,请标注链接地址 全文共计1821字,阅 ...

最新文章

  1. 王者荣耀服务器维护啥意思,王者荣耀
  2. Maven实战. 1.3Maven与极限编程
  3. react学习(41)----react中的jsx简介
  4. 【转】WPF 入门《常用控件》
  5. C语言 *p++/*(p)++/*(p++)/*p++ - C语言零基础入门教程
  6. 嵌入式操作系统内核原理和开发(实时调度)
  7. 【Docker】安装并测试安装成功
  8. new file 的路径问题_cmake系列 - 解决__FILE__ 宏绝对路径的问题(相对路径)
  9. 计算机专业简述,简述计算机专业毕业论文完整版.doc
  10. 拓端tecdat|R语言有状态依赖强度的非线性、多变量跳跃扩散过程模型似然推断分析股票价格波动
  11. 极品飞车ol服务器连接不稳定,极品飞车OL常见客户端问题有哪些_客户端问题解决方法_3DM网游...
  12. ubuntu google earth 乱码 自动关闭
  13. 参数化设计的意义——Autodriver
  14. iOS版本兼容以及部分iOS 11适配
  15. 牵丝戏计算机谱,急求牵丝戏计算器谱完整版!!!
  16. android-17手机,安卓手机好评排行:魅族17第四,小米10至尊第六,第一名意料之中...
  17. 优维EasyOps®全平台又一波新功能上线,操作体验更带劲
  18. 开发web、app应用实战中用到的资料汇总
  19. Oracle TRUNCATE语法
  20. 研发质量管理工作经验总结(二)----质量管理技能

热门文章

  1. 【概念信息】COPC概览
  2. SAP实战中Submit的常见用法-调用标准程序
  3. 【转】STO跨公司转储流程
  4. 关于企业应用架构中前置机的作用
  5. 会计记忆总结之五:会计账薄
  6. SAP TABLECONTROL 搜索帮助相关设置
  7. 数据分析常用功能:巧用门户制作功能,让多个报表一览无余
  8. 单纯形 c语言 程序,单纯形法完全c语言程序
  9. python遍历字典的四种方法
  10. Python之dict(或对象)与json之间的互相转化