Linux:日志采集

一·日志采集规则4.14
*.*      文件名称
日志类型.日志级别
auth    用户登陆日志(pam产生日志)
authpriv  服务认证日志(sshd认证)
kern   内核日志
cron  定时任务日志
lpr   打印机日志
mail  邮件日志
news  新闻
user   用户相关程序日志
local 1-7   用户自定义日志

日志级别
debug     系统调试信息
info      常规信息
warning   警告xinxi
err       报错(级别低,阻止某个功能不能正常工作)
crit      报错(级别高,阻止了整个软件或整系统不能正常工作)
alert     需要立即修改的信息
emerg     内核奔溃
none      不采集任何日志xinxi

例子:
vim  /etc/rsyslog.conf
auth.debug     /var/log/westos
将用户登陆的调试信息放在/var/log/westos 里
auth.*         
*.*             /var/log/log.all
 ^

(所有日志的所有级别)

Linux:日志采集_第1张图片

Linux:日志采集_第2张图片

日志在内存里,日志是由服务决定的
resyslog
系统常用日志
/var/log/messages     所有日志级别的常规信息(不包含邮件,服务认证,定时任务)
/var/log/maillog      邮件日志
/var/log/secure       服务认证日志
/var/log/cron         定时任务日志
二·日志远程同步

日志同步:自己生成一份日志后主动传送给别人

实验步骤:

在日志发送方:
vim /etc/rsyslog.conf
*.*             @172.25.254.119   日志接受方地址

systemctl  restart  rsyslog



在日志接受方
vim  /etc/rsyslog.conf
15 $ModLoad imudp

16 $UDPServerRun 514


syetemctl  restart  rsyslog

cat  /var/log/messages

Linux:日志采集_第3张图片


重置:

syetemctl  restart  rsyslog

开启防火墙:

systemctl stop firewalld

关闭防火墙:
systemctl stop firewalld
systemctl disable firewalld


三·定义日志采集格式
vim /etc/rsyslog.conf
$template  格式名称,“日志采集格式”
*.info;mail.none;authpriv.none;cron.none

$template  westos,"%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n  "

*.info;mail.none;authpriv.none;cron.none    /var/log/massages;westos

%timegenerated%             日志生成时间
%FORMHOST-IP%           日志来源主机ip
%syslogtag%                     日志生成程序
%msg%                              日志内容
\n                                         换行


在发送端进行:


Linux:日志采集_第4张图片


在接收端进行:

在发送端进行:

Linux:日志采集_第5张图片


四·journactl                                                    日志查看工具,直接查看内存中的日志

     journalctl  -n 3                                          查看最近前3条

Linux:日志采集_第6张图片

     journalctl  -p err                                        报错

Linux:日志采集_第7张图片

     journalctl  -f                                              进行监控

Linux:日志采集_第8张图片

     journalctl --since 输入时间  --until 输入时间                   输入时间点

Linux:日志采集_第9张图片

    (journalctl  -o verbose  查看日志详细参数  _PID=651(/关键字)           查看日志详细参数

     journactl  _PID=651)

Linux:日志采集_第10张图片

Linux:日志采集_第11张图片



五·对systemd-journald管理:默认此程序只负责对日志查看而不对日志进行保存和采集,那么关机后开机,对日志进行查看,只能查看到开机后的日志,系统之前的日志因为是保存在内存中的,所以关机后被清空了,那么在开机是用journalctl看不到的

如何让systemd-journald保存日志到硬盘中
实验步骤:
mkdir  /var/log/journal                         建立目录
chmod root.systemd-journal /var/log/journal
ls -ld /var/log/journal
chgrp systemd-journald /var/log/jounal
ls -ld /var/log/jounal
chmod g+s(2755) /var/log/journal
killall -l systemd-journald
ls /var/log/journal
journalctl -n 3
date
reboot                                            重启
journalctl

这个实验说明:重启之后也会有之前登陆时间

Linux:日志采集_第12张图片

Linux:日志采集_第13张图片

Linux:日志采集_第14张图片


六·时间同步
实验步骤:
在服务器端共享时间
vim /etc/chrony.conf    
29 local startum 10        开启是时间共享功能并设定共享级别
                           这个参数开启后本机不去同步别人的时间到本机
22 allow 172.25.254.0/24   允许哪些客户端来访问本机共享时间

systemctl  restart  chronyd   重置


Linux:日志采集_第15张图片

在客户端:
vim /etc/chrony.conf

server  172.25.254.119 iburst    119:服务端ip

Linux:日志采集_第16张图片


systemctl restart chronyd

chronyc sources -v

Linux:日志采集_第17张图片

最后结果:

210 Number of sources = 1

  .-- Source mode  '^' = server, '=' = peer, '#' = local clock.
 / .- Source state '*' = current synced, '+' = combined , '-' = not combined,
| /   '?' = unreachable, 'x' = time may be in error, '~' = time too variable.
||                                                 .- xxxx [ yyyy ] +/- zzzz
||                                                /   xxxx = adjusted offset,
||         Log2(Polling interval) -.             |    yyyy = measured offset,
||                                  \            |    zzzz = estimated error.
||                                   |           |                         
MS Name/IP address         Stratum Poll Reach LastRx Last sample
===============================================================================
^* 172.25.254.119                0   6     0   10y     +0ns[   +0ns] +/-    0ns


七·更改时间(timedatectl  set-time "更改时间")
实验步骤:

timedatectl                                                            查看时间

timedatectl  list-timezones                                     查看所有时区时间

Linux:日志采集_第18张图片

timedatectl   set-timezone  Asia/Shanghai             更改为上海时间
timedatectl   

date

Linux:日志采集_第19张图片

timedatectl  set-local-rtc  0                                     0指的是UTC时间

 vim /etc/adjtime


timedatectl  set-local-rtc  1                                      1指的是本机时间

vim /etc/adjtime


timedatectl   set-time   "需要更改时间"                    更改时间
date




你可能感兴趣的:(Linux:日志采集)