Linux之日志管理

于 2019-04-10 22:43:02 发布
阅读量426 收藏 1
点赞数 1
CC 4.0 BY-SA版权
分类专栏: linux操作系统
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/SS_CC_Go/article/details/89197593
本文介绍了Linux日志管理,包括日志目录、rsyslog服务的管理,以及日志采集规则。讨论了多台主机日志的管理和时间同步,强调了配置文件`/etc/rsyslog.conf`在设定日志格式中的作用。还提到了如何查看内核日志,如使用`journalctl`命令,并展示了不同参数的用法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

日志目录

1、rsyslog 此服务时用来采集系统日志的,它不产生日志,只起到记录作用

2、rsyslog的管理

/var/log/messages		服务信息日志
/var/log/secure			系统登陆日志
/var/log/cron			定时任务日志
/var/log/maillog		邮件日志
/var/log/boot.log		系统启动日志

日志采集

规则:什么类型的日志.什么级别的日志 /var/log/file

日志类型分类

auth					pam产生的日志
authpriv				ssh .ftp等登陆信息相关的验证信息
cron					时间人物相关
kern					内核
lpr						打印
mail					邮件
mark(syslog)-rsyslog	服务内部的信息,时间标识
news					新闻组
user					用户程序产生的相关性信息
uucp					unix to unix copy,unix主机之间相关的通讯
local 1~7				自定义的日志设备

日志级别:

debug					有调试信息的,日志信息最多
info					一般信息的日志,最常用
notice					最具有重要性的普通条件的信息
warning					警告级别
err						错误级别,阻止某个功能或者模块不能正常工作的信息
crit					严重级别,阻止整个系统或者整个软件不能正常工作的信息
alert					需要立刻修改的信息
emerg					内核奔溃等严重信息
none					什么都不记录

注意:从上到下,级别从低到高,记录的信息越来越少详细的可以查看手册:man 3 syslog

多台主机日志管理

在日志发送方

/etc/rsyslog.conf
配置:*.*      @表示ip  |@表示udp协议发送  |@@表示tcp协议发送
配置完重启服务:systemctl restart rsyslog

在这里插入图片描述
在在日志接收方

/etc/rsyslog.conf
15          $ModLoad imudp  日志接收模块
16          $UDPServerRun   开启接收端口
systemctl restart rsyslog   重启rsyslog服务

在这里插入图片描述
在这里插入图片描述

systemctl stop firewall        关闭火墙
systemctl disable firewall     设置火墙开机关闭

在这里插入图片描述
再发送方和接收方都清空日志

var/log/messages
在发送方:logger dfsjhfwefsdofhsdkjfhj
cat /var/log/messages 	  查看日志是否生成在这里插入

客户端生成的日志
在这里插入图片描述
服务端生成的日志
在这里插入图片描述

日志采集格式的设定

修改配置文件:/etc/rsyslog.conf
在这里插入图片描述

日志时间同步

systemctl start chornyd.service 	启动时间同步服务
/etc/chrony.conf 				  	时间同步配置文件

在服务器端:	
	vim /etc/chrony.conf 
		allow 172.25.254.0/24
		local stratum 10
systemctl restart chronyd.service	重启时间同步服务
systemctl stop firewalld.service	关闭防火墙

在客户端:
	vim /etc/chrony.conf
		server 172.25.254.200 iburst
systemctl restart chronyd.service	重启时间同步服务

服务器端:
在这里插入图片描述
客户端:
在这里插入图片描述

查看内核日志

journalctl 
		-n 3			查看最近3条日志		
		-p err			查看错误日志	
		-o verbose		查看日志的详细参数
		--since			查看从什么时间开始的日志
		--until			查看截至什么时间的日志

示例:
journalctl -n 3
在这里插入图片描述
journalctl -p err
journalctl -o verbose
在这里插入图片描述
在这里插入图片描述
journalctl --since 开始时间 --until 结束时间在这里插入图片描述

将journal日志存到硬盘

1、mkdir /var/log/journal					创建存储内核日志的文件
2、chgrp systemd-journal /var/log/journal	将此目录的用户组修改为systemd-journal组
3、chmod g+s /var/log/journal				所有用户在此目录下创建的文件都属于systemd-journal
4、killall -l systemd-journald				重新加载该文件

创建目录并修改用户组
在这里插入图片描述
给目录添加S权限
在这里插入图片描述
killall -l systemd-journald
在这里插入图片描述

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值