本文介绍了日志管理的重要性,包括/var/log/message和/var/log/secure文件的用途。讲解了syslog的配置文件/etc/syslog.conf,日志文件的远程同步设置,以及logrotate的轮替机制。还提到了使用journalctl进行日志分析,远程时间同步的步骤,以及如何使用timedatectl管理时区。
1.关于/var/log/message文件
这个文件相当重要,几乎系统发生的所有错误信息(或者重要信息)都会记录在这个文件中;
如果系统发生莫名的错误时,这个文件是一定要查阅的日志文件之一。
logger test message 测试,会在/var/log/messages里面产生测试信息
2.关于/var/log/secure文件
基本上,只要牵涉到需要输入帐号密码的软件,那么当登录时(不管登录正确或错误)都会
被记录在此文件中。包括系统的咯改in程序、图形哦嗯界面登录所使用的gdm程序、图形及面
登录所使用的gdm程序、su、sudo、等程序,还有网络联机的ssh、telnet等程序,登录信息
都护被记载杂在这里。
2.当执行systemctl stop rsyslog.service时,虽然会继续生成日志信息,但并不会采集到这个
文件里面去。但执行journalctl仍可以查询到关闭之后的日志记录。
systemctl list list-unit-files 查看所有开机自起的信息
3.syslog的配置文件:/etc/syslog.conf
这个文件规定了什么服务的什么等级信息以及需要被记录在哪里(设备或文件)这三个东西,
所以设置的语法会是这样的:
服务名称[.=!]信息等级 信息记录的文件名或设备或主机
mail.info /var/log/maillog_info
#这一行说明:mail服务产生的大于等于info等级的信息,都记录到/var/log/maillog_info
这个文件中
a.服务名称:
auth(与认证机制有关login,ssh,su),cron(例行性工作调度cron/at等产生的信息)
,daemon,kern,lpr,mail,news,syslog,user,uucp,local0~7
b信息等级:(按信息的严重性升序排列)
info(基本信息说明),notice(除了info以外还要注意的内容),warning,err,
crit,alert,emerg
c.信息记录的文件名或设备或主机
4.可以为自定义的日志文件用chattr添加+a属性,使文件只能增加不能删除
5.日志文件的远程同步
服务器可以启动监听端口,客户端则将日志文件再转出一份送到服务器去
######日志同步##########
在日志接收方:
vim /etc/rsyslog.conf
$ModLoad imudp ###加载日志接收功能模块
$UDPServerRun 514 ###加载日志接收接口
拓展重点:netstat -anulpe|grep 514
netstat是控制台命令,是一个监控TCP/IP网络的非常有用的工具,它可以显示路由表、
实际的网络连接以及每一个网络接口设备的状态信息
-a, --all display all sockets (default: connected)
-n 以网络ip代替名称,显示网络连接情形
-u udp
-l, --listening display listening server sockets
-p 显示建立相关连接的程序名和PID
-e 显示以太网统计。此选项可以与 -s 选项结合使用
-s 显示每个协议的统计
在日志发送方:
*.* @日志接收方ip ##udp传输是在前面加一个@,tcp在前面加两个@
udp速度快,不安全
tcp安全稳定,美udp快
做完配置重启rsyslogd服务
关闭火墙
systemctl stop firewalld
6.日志文件的轮替(logrotate)
当一次执行完rotate之后,原本的messages会变成messages.1,并且会制造
一个新的messages,第二次rotate之后,messages.1会变成message.2,messages
会变成messages.1,然后再生成一个新的messages。依此类推,如果我们设置
仅保留3个日志文件的话,那么第四次的时候messages.3就会被删除。
7.设置永久的保存系统日志信息
mkdir /var/log/journal
chmod root.systemd-journal /var/log/journal
chmod 2775 /var/log/journal
killall -1 systemd-journald ##重新载入
只要执行journalctl,就可一看到这个目录建立之后的日志信息,关机重起不会
之前的日志信息不会被删除
8.远程时间同步
1.在客户端修改,确定时间源地址
vim /etc/chrony.conf
server 172.25.254.101 iburst
2.确定客户主机使用的时间同步服务是否开启
systemctl status chronyd.service
chronyd.serviceser
3.在服务机端修改
vim /etc/chrony.conf
allow 172.25.254.100
local stratum 10
4.systemctl restart chronyd.service
5.chronyc sources -v ##查看有没有同步成功
9.日志分析
systemd-journald ###日志分析进程
journalctl ###日志分析命令
journalctl -n 5 ##查看最近生成的5条日志
journalctl -p err ##查看系统报错
journalctl --since --until ###查看某个时间段生成的日志
journalctl -o verbose ###查看日志能够使用的条件参数
journalctl _UID= ##进程uid
_PID= ##进程id
_GID= ##进程gid
_HOSTNAME= ##进程所在主机
_SYSTEMD_UNIT= ##服务名称
_COMM= ##命令名称
10.datetimectl
timedatectl list-timezones ##列出时区
timedatectl set-timezone 时区 ##设定时区
timedatectl set-time HH:mm:ss ##设定系统时间
计算机上,有两个时间,一个是硬件时间(BIOS中记录的时间,称为hwclock),
另一个是操作系统时间(osclock)。硬件时钟由BIOS电池供电,当计算机关机后,
会继续运行,BIOS电池一般可使用几年,如果没电了,那BIOS中的数据会恢复出厂设置。
hwclock的时区在/etc/default/rcS文件中设置,里面有一个参数UTC,默认值为True,
表示使用UTC时区,如果设置为no,那表示使用osclock的时区
查看硬件时间 hwclock -r
将osclock写入hwclock hwclock -w
osclock的时区配置文件为/etc/timezone,如果你想修改,那最好使用sudo dpkg-reconfigure tzdata来修改时区,
不建议直接修改/etc/timezone文件,
如果你想修改为UTC时间,那执行sudo dpkg-reconfigure tzdata命令时,选择None of the above->UTC 即可。
查看osclock date
修改osclock date -s hh:mm:ss
我们一般会使用ntp同步osclock
详细讲解 http://www.cnblogs.com/ajianbeyourself/p/4189520.html
这个文件相当重要,几乎系统发生的所有错误信息(或者重要信息)都会记录在这个文件中;
如果系统发生莫名的错误时,这个文件是一定要查阅的日志文件之一。
logger test message 测试,会在/var/log/messages里面产生测试信息
2.关于/var/log/secure文件
基本上,只要牵涉到需要输入帐号密码的软件,那么当登录时(不管登录正确或错误)都会
被记录在此文件中。包括系统的咯改in程序、图形哦嗯界面登录所使用的gdm程序、图形及面
登录所使用的gdm程序、su、sudo、等程序,还有网络联机的ssh、telnet等程序,登录信息
都护被记载杂在这里。
2.当执行systemctl stop rsyslog.service时,虽然会继续生成日志信息,但并不会采集到这个
文件里面去。但执行journalctl仍可以查询到关闭之后的日志记录。
systemctl list list-unit-files 查看所有开机自起的信息
3.syslog的配置文件:/etc/syslog.conf
这个文件规定了什么服务的什么等级信息以及需要被记录在哪里(设备或文件)这三个东西,
所以设置的语法会是这样的:
服务名称[.=!]信息等级 信息记录的文件名或设备或主机
mail.info /var/log/maillog_info
#这一行说明:mail服务产生的大于等于info等级的信息,都记录到/var/log/maillog_info
这个文件中
a.服务名称:
auth(与认证机制有关login,ssh,su),cron(例行性工作调度cron/at等产生的信息)
,daemon,kern,lpr,mail,news,syslog,user,uucp,local0~7
b信息等级:(按信息的严重性升序排列)
info(基本信息说明),notice(除了info以外还要注意的内容),warning,err,
crit,alert,emerg
c.信息记录的文件名或设备或主机
4.可以为自定义的日志文件用chattr添加+a属性,使文件只能增加不能删除
5.日志文件的远程同步
服务器可以启动监听端口,客户端则将日志文件再转出一份送到服务器去
######日志同步##########
在日志接收方:
vim /etc/rsyslog.conf
$ModLoad imudp ###加载日志接收功能模块
$UDPServerRun 514 ###加载日志接收接口
拓展重点:netstat -anulpe|grep 514
netstat是控制台命令,是一个监控TCP/IP网络的非常有用的工具,它可以显示路由表、
实际的网络连接以及每一个网络接口设备的状态信息
-a, --all display all sockets (default: connected)
-n 以网络ip代替名称,显示网络连接情形
-u udp
-l, --listening display listening server sockets
-p 显示建立相关连接的程序名和PID
-e 显示以太网统计。此选项可以与 -s 选项结合使用
-s 显示每个协议的统计
在日志发送方:
*.* @日志接收方ip ##udp传输是在前面加一个@,tcp在前面加两个@
udp速度快,不安全
tcp安全稳定,美udp快
做完配置重启rsyslogd服务
关闭火墙
systemctl stop firewalld
6.日志文件的轮替(logrotate)
当一次执行完rotate之后,原本的messages会变成messages.1,并且会制造
一个新的messages,第二次rotate之后,messages.1会变成message.2,messages
会变成messages.1,然后再生成一个新的messages。依此类推,如果我们设置
仅保留3个日志文件的话,那么第四次的时候messages.3就会被删除。
7.设置永久的保存系统日志信息
mkdir /var/log/journal
chmod root.systemd-journal /var/log/journal
chmod 2775 /var/log/journal
killall -1 systemd-journald ##重新载入
只要执行journalctl,就可一看到这个目录建立之后的日志信息,关机重起不会
之前的日志信息不会被删除
8.远程时间同步
1.在客户端修改,确定时间源地址
vim /etc/chrony.conf
server 172.25.254.101 iburst
2.确定客户主机使用的时间同步服务是否开启
systemctl status chronyd.service
chronyd.serviceser
3.在服务机端修改
vim /etc/chrony.conf
allow 172.25.254.100
local stratum 10
4.systemctl restart chronyd.service
5.chronyc sources -v ##查看有没有同步成功
9.日志分析
systemd-journald ###日志分析进程
journalctl ###日志分析命令
journalctl -n 5 ##查看最近生成的5条日志
journalctl -p err ##查看系统报错
journalctl --since --until ###查看某个时间段生成的日志
journalctl -o verbose ###查看日志能够使用的条件参数
journalctl _UID= ##进程uid
_PID= ##进程id
_GID= ##进程gid
_HOSTNAME= ##进程所在主机
_SYSTEMD_UNIT= ##服务名称
_COMM= ##命令名称
10.datetimectl
timedatectl list-timezones ##列出时区
timedatectl set-timezone 时区 ##设定时区
timedatectl set-time HH:mm:ss ##设定系统时间
计算机上,有两个时间,一个是硬件时间(BIOS中记录的时间,称为hwclock),
另一个是操作系统时间(osclock)。硬件时钟由BIOS电池供电,当计算机关机后,
会继续运行,BIOS电池一般可使用几年,如果没电了,那BIOS中的数据会恢复出厂设置。
hwclock的时区在/etc/default/rcS文件中设置,里面有一个参数UTC,默认值为True,
表示使用UTC时区,如果设置为no,那表示使用osclock的时区
查看硬件时间 hwclock -r
将osclock写入hwclock hwclock -w
osclock的时区配置文件为/etc/timezone,如果你想修改,那最好使用sudo dpkg-reconfigure tzdata来修改时区,
不建议直接修改/etc/timezone文件,
如果你想修改为UTC时间,那执行sudo dpkg-reconfigure tzdata命令时,选择None of the above->UTC 即可。
查看osclock date
修改osclock date -s hh:mm:ss
我们一般会使用ntp同步osclock
详细讲解 http://www.cnblogs.com/ajianbeyourself/p/4189520.html
扫一扫
588
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
