日志目录
1、rsyslog 此服务时用来采集系统日志的,它不产生日志,只起到记录作用
2、rsyslog的管理
/var/log/messages 服务信息日志
/var/log/secure 系统登陆日志
/var/log/cron 定时任务日志
/var/log/maillog 邮件日志
/var/log/boot.log 系统启动日志
日志采集
规则:什么类型的日志.什么级别的日志 /var/log/file
日志类型分类
auth pam产生的日志
authpriv ssh .ftp等登陆信息相关的验证信息
cron 时间人物相关
kern 内核
lpr 打印
mail 邮件
mark(syslog)-rsyslog 服务内部的信息,时间标识
news 新闻组
user 用户程序产生的相关性信息
uucp unix to unix copy,unix主机之间相关的通讯
local 1~7 自定义的日志设备
日志级别:
debug 有调试信息的,日志信息最多
info 一般信息的日志,最常用
notice 最具有重要性的普通条件的信息
warning 警告级别
err 错误级别,阻止某个功能或者模块不能正常工作的信息
crit 严重级别,阻止整个系统或者整个软件不能正常工作的信息
alert 需要立刻修改的信息
emerg 内核奔溃等严重信息
none 什么都不记录
注意:从上到下,级别从低到高,记录的信息越来越少详细的可以查看手册:man 3 syslog
多台主机日志管理
在日志发送方
/etc/rsyslog.conf
配置:*.* @表示ip |@表示udp协议发送 |@@表示tcp协议发送
配置完重启服务:systemctl restart rsyslog
在在日志接收方
/etc/rsyslog.conf
15 $ModLoad imudp 日志接收模块
16 $UDPServerRun 开启接收端口
systemctl restart rsyslog 重启rsyslog服务
systemctl stop firewall 关闭火墙
systemctl disable firewall 设置火墙开机关闭
再发送方和接收方都清空日志
var/log/messages
在发送方:logger dfsjhfwefsdofhsdkjfhj
cat /var/log/messages 查看日志是否生成在这里插入
客户端生成的日志
服务端生成的日志
日志采集格式的设定
修改配置文件:/etc/rsyslog.conf
日志时间同步
systemctl start chornyd.service 启动时间同步服务
/etc/chrony.conf 时间同步配置文件
在服务器端:
vim /etc/chrony.conf
allow 172.25.254.0/24
local stratum 10
systemctl restart chronyd.service 重启时间同步服务
systemctl stop firewalld.service 关闭防火墙
在客户端:
vim /etc/chrony.conf
server 172.25.254.200 iburst
systemctl restart chronyd.service 重启时间同步服务
服务器端:
客户端:
查看内核日志
journalctl
-n 3 查看最近3条日志
-p err 查看错误日志
-o verbose 查看日志的详细参数
--since 查看从什么时间开始的日志
--until 查看截至什么时间的日志
示例:
journalctl -n 3
journalctl -p err
journalctl -o verbose
journalctl --since 开始时间 --until 结束时间
将journal日志存到硬盘
1、mkdir /var/log/journal 创建存储内核日志的文件
2、chgrp systemd-journal /var/log/journal 将此目录的用户组修改为systemd-journal组
3、chmod g+s /var/log/journal 所有用户在此目录下创建的文件都属于systemd-journal
4、killall -l systemd-journald 重新加载该文件
创建目录并修改用户组
给目录添加S权限
killall -l systemd-journald