Linux单元小结(10)

系统日志

知识点
进程和操作系统内核需要能够为发生的事件记录日志 , 这些日志可用于系统审核和问题的故障排除 , 一般这些日志永久存储 /var/log 目录中。系统文件记录信息如下:
/var/log/messages 大多数系统日志信息记录在此处
/var/log/secure 安全和身份认证相关的消息和错误的日志文件
/var/log/maillog 与邮件服务器相关的日志文件
/var/log/cron 与定时任务相关的日志文件
/var/log/boot.log 与系统启动有关的日志文件

rsyslog 服务

知识点
rsyslog 是一个开源工具 , 被广泛用于 Linux 系统中TCP/UDP 协议转发或接收日志消息。
rsyslog 服务的主配置文件为 /etc/rsyslog.conf 。
指定日志保存位置修改配置文件 , 修改后重启 rsyslog 服务生效
*.* /var/log/westos.log
利用 tail -f 日志文件名 输出日志文件的后 10 行 , 并实时更新

实现
更改配置文件

重启，查看状态

监控文件

重启一个服务

可以看到日志更新

远程日志同步

知识点
日志发送方vim /etc/rsyslog.conf
*.* @ 日志接收方 ip
日志接收方
vim /etc/rsyslog.conf
$ModLoad imudp // 加载日志接收功能模块
$UDPServerRun 514 // 加载日志接收接口
注意 : 两台主机防火墙关闭 , 修改完重启 rsyslogd 服务。

实现
Desktop的日志在Server上同步

Desktop：
关闭防火墙

更改配置

重启服务

Server
关闭防火墙
更改配置

重启服务
清空日志后查看

在Desktop中重启ssh服务

可以在Server中看到日志的更新

分析系统日志条目

下面为 /var/log/secure 文件中的一条日志信息 , 每一项代表的含义分析如下
Jul 5 17:16:45 foundation0 sshd[20462]: Accepted password for root from 172.25.0.11 port 48128 ssh2
1. 记录该日志的时间戳
2. 发送该日志消息的主机
3. 记录发送该日志消息的 进程或程序
4. 发送的实际消息

systemd-journald 服务

systemd-journald服务提供一种改进的日志管理服务,可以收集来自内核、启动过程、标准输出、系统日志及守护进程启动和运行期间错误的消息 , 它将这些消息写入到一个结构化事件日志中

默认情况下 ,systemd 日志保存在 /run/log/journal 中 , 这意味着系统重启时会被清除 , 那如果将日志保存在 /var/log/journal 目录 , 这样做的优点是启动后就可以利用历史数据 , 形成永久日志
实现步骤 :
mkdir /var/log/journal
chown root.systemd-journal /var/log/journal/
chmod 2755 /var/log/journal/
kill -1 systemd-journald

journalctl 命令

journalctl// 日志分析命令
journalctl-n 5 // 查看最近生成的 5 条日志
journalctl-perr // 查看系统报错
journalctl–since –until // 查看某个时间段生成的日志
journalctl-o verbose // 查看日志能够使用的条件参数

journalctl
_UID= // 进程 uid
_PID= // 进程 id
_GID= // 进程 gid
_HOSTNAME= // 进程所在主机
_SYSTEMD_UNIT= // 服务名称
_COMM= // 命令名称

chronyd 服务

知识点
确定时间源地址 (172.25.254.254)
确定客户主机使用的时间同步服务
在 chronyd.service 服务中加载时间源地址
vim /etc/chrony.conf
server 172.25.254.254 iburst
systemctl restart chronyd.service
查看是否同步成功 chronyc sources -v

实现
Desktop：
关闭防火墙
更改配置文件


重启服务

Server：
关闭防火墙
更改配置文件

重启服务

查看

timedatectl

查看当前时区
timezonesl list-timezones
设置当前时区
timedatectl set-timezone Africa/Conakry
设置当前系统时间
timedatectl set-time 11:11:11