系统日志

一.系统日志的管理

cat /var/log/messages           ##查看默认保存的日志

---

1.日志采集服务rsyslog的管理

/var/log/messages           ##服务信息日志
/var/lgo/secure               ##系统登录日志
/var/log/cron                     ##定时任务日志
/var/log/maillog                ##邮件日志
/var/log/boot.log               ##系统启动日志
/var/log/file                        ##日志采集规则

---

日志类别：

auth                                 ##pam产生的日志
authpriv                          ##ssh，ftp等登录信息的验证消息
cron                                ##时间任务相关
kern                                ##内核
lpr                                ##打印
mail                                ##邮件
mark(syslog)-rsyslog   ##服务内部的信息，时间标识
news                              ##新闻组
user                                ##用户程序产生的相关信息
uucp                               ##unix to unix copy，unix主机之间相关的通讯
local 1~7                      ##自定义的日志设备

---

日志级别：

debug              ##有调试信息的，日志信息最多
info                    ##一般信息的日志，最常用
notice              ##最具有重要性的普通条件的信息
warning         ##警告级别
err                  ##错误级别，组字某个功能或者模块不能正常工作的信息
crit                    ##严重级别，阻止整个系统或者整个软件不能正常工作的信息
alert                 ##需要立刻修改的信息
emerg           ##内核崩溃等严重信息
none                ##什么都不记录

注意：从上到下，级别由低到高，记录的信息越来越少

---

2.实现日志远程同步

日志发送方：

vim /etc/rsyslog.conf               ##更改发送方rsyslog服务配置文件
*.*                                             ##前*表示所有类别，后*表示所有级别
*.* @172.25.254.212         ##所有级别所有日志以udp协议发送给ip
systemctl restart rsyslog       ##更改配置后重启

---

man 5 rsyslog查看写法

@@表示采用tcp协议，@表示采用udp协议

---

在配置文件中添加语句

---

日志接受方：

vim /etc/rsyslog.conf               ##更改接受方rsyslog服务配置文件15 $ModLoad imudp          ##开启接受模块16 $UDPServerRun 514      ##开启接受端口

---

systemctl restart   rsyslog       ##更改配置后重启
systemctl stop      firewalld      ##关闭防火墙
systemctl disabled  firewalld   ##设置开机不启动
> /var/log/messages                ##清空日志

---

日志发送方：
logger test1                              ##发送信息test1进行测试
cat /var/log/messages           ##查看发送方日志

---

日志接受方：
cat /var/log/messages           ##查看接受方日志

---

3.设定日志采集的格式

vim /etc/rsyslog.conf           ##更改接受方rsyslog服务配置文件
$template LOGFMT, "%timegenerated% %FROMHOST-IP%  %syslogtag% %msg%\n"
##设定格式，LOGFMT为格式变量,后依次为时间，ip，标签，日志信息

---

4.时间同步服务

服务名称：chronyd

---

服务端：

vim /etc/chronyd.conf                ##更改时间同步配置文件23 allow 172.25.254.0/24       ##允许对应网段的用户同步时间30 local stratum 10                   ##作为服务端时间源，不被别人同步
systemctl restart chronyd       ##配置后重启

配置后重启

---

客户端：

vim /etc/chronyd.conf                   ##更改客户端配置文件
server 172.25.254.112 iburst        ##配置文件加入该语句，本机立即同步112主机的时间
systemctl restart chronyd           ##配置后重启
chronyc sources -v                       ##测试是否同步

在配置文件中添加语句

其中^*表示同步成功

---

5.时间设定

timedatectl                                                    ##查看时间设定
时间的计算方法，UTC（格林威治时间+时区）

---

timedatectl set-timezone Asia/Shanghai  ##设定时区

---

timedatectl set-time "2018-11-13 11:11" ##设定时间

---

timedatectl set-local-rtc 0                          ##设定是否使用UTC时间0是1否

---

timedatectl list-timezone                             ##列出时区

---

6.查看日志

journalctl                         ##日志查看工具

---

journalctl  -n 3                ##查看最近3条日志

---

journalctl  -p err           ##查看错误日志

---

journalctl  --since     ##查看从特定时间起的日志
journalctl  --until        ##查看到特定时间止的日志

---

7.保存系统日志

mkdir /var/log/journal                               ##创建用于保存的目录
chgrp systemd-journal /var/log/journal  ##更改属组
chmod g+s /var/log/journal                    ##添加强制位
ps aux | grep systemmd-journal             ##筛选进程
killall -1 systemd-journald                       ##重加载所有相关进程
ls /var/log/journal                                     ##显示保存的日志文件目录

---

重新启动后仍能通过journalctl 来查看重启前的日志