本文介绍了Linux系统中的日志管理,包括系统常用日志文件、rsyslog服务配置、日志同步和日志分析工具journalctl的使用。同时,文章详细讲解了时间同步的重要性,以及如何使用chrony进行时间同步和timedatectl命令进行时间设置。
1.系统常用的日志
/var/log/messages 系统服务及日志,包括服务的信息,报错等等
/var/log/secure 认证信息日志
/var/log/maillog 邮件服务信息
/var/log/cron 定时任务信息
/var/log/boot.log 系统启动信息
2.日志管理服务rsyslog
1.rsyslog负责采集和分类存放日志
2.主要的配置文件为/etc/rsyslog.conf
在编辑这个主配置文件时,格式为*.* /存放文件
第一个*代表日志设备(类型),第二个*代表日志的级别,/存放文件代表将某个类型,某个级别的日志放在该文件中
(1)日志类型:
auth ##pam产生的日志(用户登录时产生的日志)
authpriv ##ssh,ftp等登录信息的验证信息(服务认证日志)
cron ##时间任务相关的日志
kern ##内核
lpr ##打印日志
mail ##邮件日志
mark(syslog)–rsyslog ##服务内部的信息,时间标识
news ##新闻组
user ##用户程序产生的相关信息
uucp ##unix to unix copy, unix主机之间相关的通讯
local 1~7 ##用户自定义的日志设备
(2)日志级别
debug ##有调式信息的,日志信息最多
info ##般信息的日志,最常用
notice ##最具有重要性的普通条件的信息
warning ##警告级别
err ##错误级别,阻止某个功能或者模块不能正常工作的信息
crit ##严重级别,阻止整个系统或者整个软件不能正常工作的信息
alert ##需要立刻修改的信息
emerg ##内核崩溃等严重信息
none ##什么都不记录
需要注意的是:(1)从上到下,级别从低到高,记录的信息越来越少
(2)在修改配置文件之后,必须重启日志服务systemctl restart rsyslog
3.日志同步
同步日志是为了方便管理多台主机
具体操作如下:(1)关闭日志接收方和发送方的防火墙systemctl stop firewalld
(2)日志发送方(服务器端)
vim /etc/rsyslog.conf
*.* @接收方ip地址 ##通过udp协议把日志发送到11主机
需要注意的是: (1)> /var/log/messages是为了清空messages里边的日志记录(发送方和接收 方都要清除)
(2)如果执行该命令后仍然有日志记录,是因为有脚本在运行那么还需执行
> /etc/rc.d/rc.local
(3)日志接收方(客户端)
(4)日志采集格式
在日志的接受方,我们可以规定日志的采集格式,让采集过来的日志按照我们规定的格式排列
在主配置文件/etc/rsyslog.conf中显示日志文件规定的那一行后写入
$template WESTOS, "%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n"
%timegenerated% ##显示日志时间
%FROMHOST-IP% ##显示主机ip
%syslogtag% ##日志记录目标
%msg% ##日志内容
\n ##换行
4.日志分析工具
journalctl ##直接执行,浏览系统日志
-n 3 ##显示最新3条
-p err ##显示报错
-f ##监控日志
--since --until ## --since "[YYYY-MM-DD] [hh:mm:ss]" 从since时间到until时间的日志
-o verbose ##显示日志能够使用的详细进程参数
##_SYSTEMD_UNIT=sshd.service服务名称
##_PID=1182进程pid
对systemd-journald管理
##默认情况下此程序会忽略重启前的日志信息,如不忽略:
mkdir /var/log/journal
chown root:systemd-journal /var/log/journal
chmod 2755 /var/log/journal
killall -1 systemd-journald
ls /var/log/journal/4513ad59a3b442ffa4b7ea88343fa55f
system.journal user-1000.journal
4.时间同步
时间同步是为了让多个虚拟机的时间保持一致,该操作仍然需要两台主机,我们可以直接打开两台虚拟机,分别改名 为client和server,设定两台虚拟机的ip地址,直接在真机中连接两台虚拟机会比较方便做实验。
(1)服务端配置:
vim /etc/chrony.conf ##主配置文件
21行# Allow NTP client access from local network.
22行 allow 客户端ip地址/子网掩码 ##允许谁(客户端)去同步我的时间
27行 # Serve time even if not synchronized to any NTP server.
28行 local stratum 10 ##不去同步任何人的时间,时间同步服务器级别
(2)客户端配置:
vim /etc/chrony.conf
删除相同的这几行,留下其中一行,并修改为图中的格式(ip地址为服务端的地址)
3 server 172.25.254.100 iburst
(3)客户端测试:
该截图中对客户端的状态有详细的介绍,*代表正确的时间同步
在该实验中,我们需要注意的是:(1)在做时间同步之前,用date命令查看两台主机的时间,如果两台主机的时间相同
那么需要修改其中一台主机的时间来做实验,具体修改的办法在下文介绍;
(2)需要关闭服务端和客户端的防火墙,这样才能允许同步与被同步;
(3)每次修改配置文件之后,都必须重启该服务systemctl restart chronyd。
5.timedatectl命令(时间设置)
timedatectl status ##显示当前时间信息
set-time ##设定当前时间
set-timezone ##设定当前时区
set-local-rtc 0|1 ##设定是否使用utc时间
list-timezone ##查看支持的所有时区
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
