linux日志管理

一. 日志管理

1.journald

服务名称：systemd-journald.service (直接去看日志，不采集)
无法查看关机之前的日志，只能查看当前启动日志（存放在内存）

systemctl status systemd-journald.service（查看服务是否启动）

当服务启动后可以用journalctl查看日志
只能查看启动之后的日志

默认日志存放路径： /run/log

2. journalctl 命令的用法

2.1 日志的显示

journalctl -n 3	日志的最新 3 条
- - since “2020-08-02 18:47:00”	显示 18：47 后的日志
- - until “2020-08-02 18:49:00”	显示日志到 18：49

显示最新三条日志

显示固定时间中的日志

2.2 日志的显示模式（显示什么）

- o +下面参数	设定日志的显示方式
short	经典模式显示日志
verbose	显示日志的全部字节
export	适合传出和备份的二进制格式
json	js 格式显示输出

journalctl -o short　 经典模式显示日志

journalctl -o verbose 　显示日志的全部字节

journalctl -o export 　显示二进制格式

journalctl -o json 　js格式显示输出

- p	+ 以下参数	显示制定级别的日志
0	emerg	系统的严重问题日志
1	alert	系统中立即要更改的信息
2	crit	严重级别会导致系统软件不能正常工作
3	err	程序报错
4	warning	程序警告
5	notice	重要信息的普通日志
6	info	普通信息
7	debug	程序拍错信息

部分命令的演示：

journalctl -p err 程序报错

journalctl -p emerg 系统中严重问题日志

journalctl -p warning 程序警告

journalctl -p notice 重要信息的普通日志

journalctl -p crit / info 严重级别的日志/普通日志
crit 出现时要马上处理

-F	PRIORITY ##查看可控日志级别

journalctl -F PRIORITY 系统的可控日志级别

- u sshd	指定查看sshd服务

journalctl -u sshd / firewalld 　　查看指定的服务

–disk-usage	##查看日志大小

查看日志大小

–vacuum-size=1G	设定日志存放大小

设定日志存放内存大小

–vacuum-time=1W	日志在系统中最长存放时间

日志在系统中存放最常时间

-f	监控日志

监控系统日志（有新日志出现会在下方显示）

journalctl _PID=10924 _SYSTEMD _UNIT=sshd.service
查看相应参数的日志服务
journalctl -o varbose中查看参数

2.journal 永久存放日志

搭建所需要的实验环境：

mkdir　　　/var/og/journal	建立相关目录
chgrp systemd-journal /var/log/journal/	给目录的用户组改为systemd-journal
chgrp g+s /var/log/journal/	给目录强制位权限
chmod g=rwx /var/log/journal/	给用户组可写权限
ls -ld /var/log/journal/	查看目录最终的权限

设置完成之后重启一下服务

systemctl 　restart　 systemd-journald.service

设置完成后reboot，再次输入journalctl你将发现之前的日志会被保存

/run/log/journal:系统默认存放路径（重启之后将会被清空）

/var/log/journal:设置的永久路径（重启之后日志还在）
建议使用完成之后删除这个目录（缓存的数据会占用大量空间）

2. rsyslog

2.1 采集日志(rsyslog)

而不是查看日志

服务名称：rsyslog.service
日志存放位置：

/var/log/messages	系统服务日志，常规信息，服务报错
/var/log/secure	系统认证信息日志
/var/log/maillog	系统邮件日志信息
/var/log/cron	系统定时任务信息
/var/log/boot.log	系统启动日志信息

系统的服务认证信息日志：

配置文件：/etc/rsyslog.conf

2.2 自定义日志采集路径

编辑配置文件：
vim /etc/rsyslog.conf/

日志类型 . 日志级别　　　　　　　　　　　　　　　　　　存放路径

vim /etc/rsyslog.conf 编辑配置文件
编辑完成后systemctl restart rsyslog.service（重启rsyslog服务）
/var/log/zyj这个存放路径会自己加载出来

日志类型

auth	用户认证
authpriv	服务认证
cron	时间任务
kern	内核类型
mail	邮件
news	系统更新信息
user	用户

日志级别

debug	程序排错信息
info	程序常规运行信息
notice	重要信息的普通日志
waring	程序警告
err	程序报错
crit	严重级别会导致系统软件不能正常工作
alert	系统中立即要更改的信息
emerg	系统的严重问题日志
none	不采集

2.3 如何更改日志采集格式

默认格式：
　　　　日志时间　　　 日志来源 　　　日志生成的程序 　　　日志内容

修改日志采集格式：vim /etc/rsyslog.conf

zyj：	格式名称
%FROMHOST-IP%：	日志来源主机 IP
%timegenerated%：	日志生成时间
%syslogtag%：	日志生成服务
%msg%：	日志内容
\n：	换行

格式名称可以自己设置，没有强制要求

修改完成之后：systemctl restart rsyslog.service 重启rsyslog服务

设定日志采集格式的应用

＊.＊　　　　　　　　　　　　　　　　　　/var/log/xue;zyj 新采集格式

module(load=“builtin:omfile” Template=“WESTOS_FORMAT”)
默认采集格式

每一次设置完成之后都要记得重新启动rsyslog服务，切记

原格式与新格式的对比

要是想默认设置为自己设置的格式
只需修改默认的为自己设置的就好了， 建议复制修改（当想恢复时更加方便）

二.日志的远程同步

日志的三种远程传输方式：UDP（速度快） TCP（稳定） RELP

这个实验至少需要两个主机进行

@	表示使用 udp 传输日志
@@	表示使用 tcp 传输日志

实验环境的搭建:
分别先确定两台主机的IP为多少：
zyj_server=192.168.1.130(日志接收方)

zyj_cilent=192.168.1.110(日志发送方)

编辑日志发送方的vim /etc/rsyslog.conf

*.*　　　　　　　　　　　　　　　　　　　＠192.168.1.130
将所有日志给192.168.1.130这台主机发一份

systemctl restart rsyslog.servicer　　　　　重新启动服务

编辑日志接收方的vim /etc/rsyslog.conf

打开日志接收方的接收端口（如下图所示）

systemctl restart rsyslog.service　　　　　　重新启动服务

注意：日志接收方的火墙要关闭

实验效果

为了方便观看实验效果需要清空日志

日志发送方发送的日志

日志接收方接收到了来自日志发送方的日志

查询端口：

netstat -antlupe | grep rsyslog

三. timedatectl

查看时间：

timedatectl set-time “2020-02-13 10:41:55”	设定系统时间
timedatectl list-timezones	显示系统的所有时区
timedatectl set-timezone “Asia/Shanghai”	设定系统时区
timedatectl set-local-rtc 0|1	设定系统时间计算方式
	0 表示使用 utc 时间计算方式

命令演示：

设置系统时间

显示系统的所有时区

设置系统时间计算方式

四. 时间同步服务

服务名称： chronyd.service
配置文件： /etc/chrony.conf

企业6之前用的为ntp服务

设置实验环境：

编辑配置文件vim /etc/chrony.conf

时间源设置：

vim /etc/chrony.conf

打开服务：
systemctl enable --now chronyd.service

同步时间源设置：

编辑配置文件：
vim /etc/chrony.conf

chronyc sources -v　　　　　　　　　　　　　查看时间效果

实验效果：

注意：编辑完成配置文件之后要想时间同步需要在同步主机中重新启动chronyd服务

还需要关闭火墙时间才会被同步哦！