1.系统日志的作用
查看日志是系统的重要排错手段,系统日志由程序本身产生,rsyslog服务是系统用来采集日志的服务。
2.系统日志默认分类
/var/log/messages ##系统服务及日志,包括服务的信息,报错等等
/var/log/secure ##系统认证信息日志
/var/log/maillog ##系统邮件服务信息
/var/log/cron ##系统定时任务信息
/var/log/boot.log ##系统启动信息
3.日志管理服务rsyslog
1.rsyslog负责采集日志和分类存放日志
2.rsyslog日志分类
vim /etc/rsyslog.conf ##主配置文件
服务.日志级别 /存放文件
*.* /var/log/westos
cd /var/log
touch westos ##建立westos文件用于存放日志
vim /etc/rsyslog.conf ##修改主配置文件
修改55行*.* /var/log/westos
systemctl restart rsyslog ##重启日志服务
cat /var/log/westos ##查看日志内容
3.格式
日志设备(类型).(连接符号)日志级别 日志处理方式(action)
4.日志设备(可以理解为日志类型)
———————————————————————-
auth ##pam产生的日志
authpriv ##ssh,ftp等登录信息的验证信息
cron ##时间任务相关
kern ##内核
lpr ##打印
mail ##邮件
mark(syslog)–rsyslog ##服务内部的信息,时间标识
news ##新闻组
user ##用户程序产生的相关信息
uucp ##unix to unix copy, unix主机之间相关的通讯
local 1~7 ##自定义的日志设备
5.日志级别
———————————————————————-
debug ##有调式信息的,日志信息最多
info ##般信息的日志,最常用
notice ##最具有重要性的普通条件的信息
warning ##警告级别
err ##错误级别,阻止某个功能或者模块不能正常工作的信息
crit ##严重级别,阻止整个系统或者整个软件不能正常工作的信息
alert ##需要立刻修改的信息
emerg ##内核崩溃等严重信息
none ##什么都不记录
注意:从上到下,级别从低到高,记录的信息越来越少
详细的可以查看手册: man 3 syslog
6.日志同步
作用:方便对日志进行管理与分析
实现:发送方把日志发送给接受方
接受方(server虚拟机) IP:172.25.254.140
发送方(desktop虚拟机)IP:172.25.254.136
##########配置日志发送方##########
1.关闭防火墙
systemctl stop firewalld ##关闭发送方主机的火墙
2.etc/rsyslog.conf文件设置发送给哪台主机
*.* @172.25.254.140 ##通过udp协议把日志发送到140主机,@udp,@@tcp
3.重启rsyslog.service
systemctl restart rsyslog.service ##重启rsyslog服务
##########配置日志接受方##########
1.关闭防火墙
2./etc/rsyslog.conf文件打开相应接口
$ModLoad imudp ##日志接收插件
$UDPServerRun 514 ##日志接收插件使用端口
3.重启rsyslog
systemctl restart rsyslog.service ##重启rsyslog服务
netstat -anulpe | grep rsyslog
-a ##all
-n ##不做解析
-t ##tcp
-u ##udp
-p ##进程名称
-e ##扩展信息
##########测试##########
发送方:
> /var/log/messages ##清空日志
logger test message ##日志发送方
接受方:
> /var/log/messages ##清空日志
tail -f /var/log/messages ##日志接收方
7.日志采集格式
$template WESTOS, "%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n"
%timegenerated% ##显示日志时间
%FROMHOST-IP% ##显示主机ip
%syslogtag% ##日志记录目标
%msg% ##日志内容
\n ##换行
*.info;mail.none;authpriv.none;cron.none /var/log/messages;WESTOS
4.日志分析工具journal
systemd-journald ##进程名称
journalctl ##直接执行,浏览系统日志
journalctl -n 3 ##显示最新3条
journalctl -p err ##显示报错
journalctl -f ##监控日志
问题:停电或者开机重启后之前的日志会消失没有保存,如何操作即使重启后之前的日志仍然存在?
对systemd-journald管理
1.创建日志文件:
mkdir /var/log/journal
2.更改日志所属组
chown root:systemd-journal /var/log/journal
3.更改文件的组的权限,该目录所产生的文件属于该组
chmod 2755 /var/log/journal
ll -d /var/log/journal
4.重新加载配置文件(不断电)
killall -1 systemd-journald
ls /var/log/journal/4513ad59a3b442ffa4b7ea88343fa55f
system.journal
5.时间同步
1.服务端
yum install chrony -y ##安装服务
vim /etc/chrony.conf ##主配置文件
21 # Allow NTP client access from local network.
22 allow 172.25.0.0/24 ##允许谁去同步我的时间
27 # Serve time even if not synchronized to any NTP server.
28 local stratum 10 ##不去同步任何人的时间,时间同步服务器级别
systemctl restart chronyd
systemctl stop firewalld
2.客户端
vim /etc/chrony.conf
3 server 0.rhel.pool.ntp.org iburst
4 server 1.rhel.pool.ntp.org iburst====> server ntpserverip iburst
5 server 2.rhel.pool.ntp.org iburst====>
6 server 3.rhel.pool.ntp.org iburst
systemctl restart chronyd
测试:
chronyc sources -v
6.timedatectl命令
timedatectl status ##显示当前时间信息
RTC time :硬件时间 UTC :标准时间 Local time :本地时间
timedatectl set-time ##设定当前时间
timedatectl set-timezone ##设定当前时区
timedatectl set-local-rtc 0|1 ##设定是否使用utc时间
设置:
timedatectl set-local-rtc 0 ##RTC(RTC时间与UTC同步)
vim /etc/adjtime ##查看
timedatectl set-local-rtc 1 ##LOCAL(将RTC时间改为与本地时间同步)
vim /etc/adjtime
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
