Linux系统日志管理
1.rsyslog服务
此服务用来采集系统日至,他不产生日志,只起采集作用
rsyslog的管理
进程和操作内核需要为发生的事记录日志,这些日志一般记录在/var/log下,文件信息记录如下:
var/log/messages #服务信息日志 var/log/secure #系统登陆日志 var/log/cron #定时任务日志 var/log/mail #邮件日志 var/log/boot.log #系统启动日志
2.日志的远程服务
1.在日志发送方
vim /etc/rsyslog.conf *.* @172.25.254.200 ##"@"表示utp协议发送,“@@”表示tcp协议发送 systemctl restart rsyslog
2.在日志接受方
vim /etc/rsyslog.conf
15 $ModLoad imudp #日志接收插件
16 $UDPServerRun #开启接收端口
systemctl restart rsyslog
systemctl stop firewalld #关闭火墙
systemctl disable firewalld #设定火墙开机时关闭
测试:
在发送方和接收方都清空日志文件
> /var/log/messages
在日志发送方
logger test
cat /var/log/meaasges #查看日志是否生成
在日志接收方
cat /var/log/messages
3.日志采集格式设定
vim /etc/rsyslog.conf
$template LOGFMT, "%timegenerated% %FORMHOST-IP% %syslogtag% %msg%\n" *.* /var/log/westos;LOGFMT
4.时间同步服务
服务名称
chronyd
在服务端:
vim /etc/chrony.conf
22 allow 172.25.254.0/24 #允许17.25.254.xxx来同步本机时间
29 local stratum 10 #本机不同步任何主机的时间,本机作为时间元
systemctl restart chronyd.service
timedatectl set-timezone Asia/Shanghai #更改当前时区为东8区
在客户端:
vim /etc/chrony.conf
3 server 172.25.254.222 iburst #本机立即同步200主机的时间
systemctl restart chronyd.service
timedatectl set-timezone Asia/Shanghai #更改当前时区为东8区
测试:
在客户端
[root@client Desktop]# chronyc sources -v
210 Number of sources = 1 .-- Source mode '^' = server, '=' = peer, '#' = local clock. / .- Source state '*' = current synced, '+' = combined , '-' = not combined, | / '?' = unreachable, 'x' = time may be in error, '~' = time too variable. || .- xxxx [ yyyy ] +/- zzzz || / xxxx = adjusted offset, || Log2(Polling interval) -. | yyyy = measured offset, || \ | zzzz = estimated error. || | | MS Name/IP address Stratum Poll Reach LastRx Last sample =============================================================================== ^* 172.25.254.222 10 6 17 49 -60ms[ -60ms] +/- 62ms
5.timedatectl命令
timedatectl #管理系统时间
timedatectl status #显示当前时间信息
set-time "年-月-日 时:分:秒" #设定当前时间
set-timezone #设定当前时区
set-local-rtc 0|1 #设定是否使用utc时间查看 vim /etc/adjtime
list-timezones #查看支持的所有时区
6.journal
1.日志查看工具
journalctl
-n 3 #查看最近3条日志 -p err #查看错误日志 -o verbose #查看日志的详细参数 --since “时间” #查看从什么时刻开始的日志 --until “时间” #查看到什么时刻为止的日志
2.使用systemd-journald保存系统日志
默认systemd-journald是不保存系统日志到硬盘的
那么关机后再次开机只能看到本次开机后的日志
关机前的日志无法查看
mkdir /var/log/journal chgrp systemd-journal /var/log/journal chmod g+s /var/log/journal/ killall -1 systemd-journald #重新加载 ls /var/log/journal 946cb0e817ea4adb916183df8c4fc817 journalctl
