工作中实用的Linux系统日志管理(下篇)
一、日志采集格式的设定
vim /etc/rsyslog.conf
$template LINUX, "%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n"
%timegenerated% ##显示日志时间
%FROMHOST-IP% ##显示主机ip
%syslogtag% ##日志记录目标
%msg% ##日志内容
\n ##换行
*.* /var/log/all_messages;LINUX ##在指定的日志中采用LINUX格式
systemctl restart rsyslog.service ##重启文件使其生效
cat /var/log/westos
cat /var/log/messages ##对比查看设置后的效果
29 $ActionFileDefaultTemplate LINUX ##修改系统默认日志采集格式为LINUX
systemctl restart rsyslog.service ##重启文件使其生效
二、时间同步服务
1.服务名称:chronyd
##在服务端:
vim /etc/chrony.conf
22 allow 172.25.254.0/24 ##允许那些客户端来同步本机时间
##0/24表示前三位网段必须相同
29 local stratum 10 ##本机不同步任何主机的时间,本机作为时间源
systemctl restart chronyd ##重启服务
##在客户端:
vim /etc/chrony.conf
3 server 172.25.254.221 iburst ##本机立即同步221主机的时间
systemctl restart chronyd ##重启服务
##测试:
chronyc sources -v
三、timedatectl命令
timedatectl ##管理系统时间
timedatectl status ##显示当前时间信息(与上一条命令功能一致)
timedatectl set-time ##设定当前时间
timedatectl set-timezone ##设定当前时区
timedatect set-local-rtc ##设定是否使用utc时间
timedatectl list-timezone ##查看支持的所有时区
四、journal命令
1.
journalctl ##日志查看工具
journalctl -n 3 ##查看最近3条日志
journalctl -p err ##查看错误日志
journalctl -o verbose ##查看日志的详细参数
journalctl --since ##查看从什么时间开始的日志
journalctl --until ##查看到什么时间为止的日志
2.如何使用 systemd-journald 保存系统日志
##默认systemd-journald是不保存系统日志到硬盘的,那么关机后再次开机只能看到本次开机之后的日志,关机之前的日志是无法查看的
mkdir /var/log/journal ##创建一个用来长久保存日志信息的目录
chgrp systemd-journal /var/log/journal ##将该目录的所有组改变为 systemd-journal /var/log/journal
chmod g+s /var/log/journal ##使该目录只能所有组写入文件
ls -ld /var/log/journal/ ##查看目录权限设置是否正确
ps aux | grep journal
killall -1 /usr/lib/systemd/systemd-journald ##重新加载配置文件
date
ls /var/log/journal/ ##查看该目录下有一串字符
bootctl ##查看本机的机器码(与刚才查看目录中的字符相同)
ll /var/log/journal/946cb0e817ea4adb916183df8c4fc817/
ll /var/log/journal/946cb0e817ea4adb916183df8c4fc817/ -d
journalctl
date
reboot ##重启主机
journalctl ##重启后原来的日志信息还在
