新秀篇 ##Linux日志的采集与远程同步##

1.日志的采集(日志在内存里)
*.*           文件名称   【设置日志】
日志类型.日志级别       日志存放文件

日志类型
auth       #用户登陆日志(pam产生日志)
authpriv   #服务认证日志(sshd认证)
kern       #内核认证
cron       #定时任务日志
lpr        #打印机日志
mail       #邮件日志
new        #新闻
user       #用户相关程序日志
local      #用户自定义日志



日志级别
debug      #系统调试信息
info       #常规信息
waring     #警告信息
err        #报错(级别低,组织某个功能不能正常工作)
crit       #报错(级别高,组织整个软件或系统不能正常工作)
none       #不采集任何日志信息
emerg      #内核崩溃

vim /ect/rsyslog.conf    #查看日志配置文件

新秀篇 ##Linux日志的采集与远程同步##_第1张图片


auth.debug           /var/log/westos(westos可以自己定义)
auth.*
*.*                  /var/log/log.all

系统常用日志
/var/log/messages     #所有日志级别的常规信息(不包含邮件,服务认证,定时任务)
/var/log/maillog      #邮件日志
/var/log/secure       #服务认证日志

/var/log/cron         #定时任务日志

2.日志远程同步
在日志发送方:
vim /etc/rsyslog.conf
(1)*.*      @172.25.254.XXX#日志接收方地址
(2)systemctl restart  rsyslog
(3)systemctl  restart sshd.service  重启

新秀篇 ##Linux日志的采集与远程同步##_第2张图片

新秀篇 ##Linux日志的采集与远程同步##_第3张图片

在日志接收方:
(1)vim /etc/rsyslog.conf
     15  $Modload imudp
     16  $UDPServerRun 514
(2)systemctl restart  rsyslog
(3)关闭火墙:systemctl stop firewalld
             systemctl disable firewalld


(4)cat  /var/log/messages  查看

新秀篇 ##Linux日志的采集与远程同步##_第4张图片

新秀篇 ##Linux日志的采集与远程同步##_第5张图片

3.定义日志采集格式
vim /etc/rsyslog.conf
$template 格式名称,“日志采集格式"
*.info;mail.none;authpriv.none;cron.none
$template westos,"%timegenerated% %FROMHOST-IP%  %syslogtag% %msg%\n"
%timegenerated%      #日志生成时间
%FROMHOST-IP%        #日志来源主机的ip
%syslogtag%          #日志生成程序
%msg%                #日志内容
\n                   #换行
*.info;mail.none;authpriv.none;cron.none

新秀篇 ##Linux日志的采集与远程同步##_第6张图片

4.journalctl      ##日志查看工具,直接查看内存中的日志
     -n 3      #最新的3条
     -p err    #报错的日志
     -f        #监控日志(ctrl+c退出监控)
     --since #从什么时间开始   --until  #到什么时候
     -o verbose #查看日志详细参数  /_pid=xxx   journalctl _pid=xxx     ##查看PID『systemctl status sshd』
    ##实验步骤:
      systemctl status sshd   ##查看pid
      systemctl restart sshd   ##重开启一个sshd,每重启一次PID就会不一样
      journalctl -o verbose   在这里面找想看到的PID(/_PID)
      journalctl _PID=651   ##查看PID=651的日志

5.对systemd-journald管理:

                      默认此程序只负责对日志进行查看而不对日志进行保存和采集,那么关机后在开机,对日志进行查看,只能查看到开机后的日志,系统之前的日志因为保存在内存中,所以关机后被清空了,那么在开机时用journalctl看不到的

##如何让systend-journald保存日志的硬盘中?
mkdir /var/log/journal
chown root.systemd-journal  /var/log/journal
chmod g+s /var/log/journal
killall -1 systemd-journald
journalctl -n 3
date
reboot
journalctl

6.时间同步【220为服务端,120为客户端】
在服务端共享时间【关闭火墙】
 vim /ect/chrony.conf
 29 local sratum 10  #开启时间共享功能并设定共向级别,这个参数开启后本机不去同步别人的时间到本机
 22 allow 172.25.254.0/24   #允许那些客户端来访问本机的共享时间
systemctl restart chronyd
在客户端:
vim /etc/chrony.conf
删除四行里的后三行,第一行改成下行文字
server 172.25.254.220 iburst
systmctl restart chronyd
chronyc sources -v

210 Number of sources = 1

  .-- Source mode  '^' = server, '=' = peer, '#' = local clock.
 / .- Source state '*' = current synced, '+' = combined , '-' = not combined,
| /   '?' = unreachable, 'x' = time may be in error, '~' = time too variable.
||                                                 .- xxxx [ yyyy ] +/- zzzz
||                                                /   xxxx = adjusted offset,
||         Log2(Polling interval) -.             |    yyyy = measured offset,
||                                  \            |    zzzz = estimated error.
||                                   |           |                         
MS Name/IP address         Stratum Poll Reach LastRx Last sample
===============================================================================
^* 172.25.254.220               10   6     7     1   -292ns[  +29ms] +/-  163us

新秀篇 ##Linux日志的采集与远程同步##_第7张图片

7.时间修改
timedatectl       ##查看时间
timedatectl list-timezones    ##查看所有时区时间
timedatectl set-timezone Asia/Shanghai   ##修改时间定为上海
timedatectl
date                 ##显示时间
timedatectl set-local-rtc 0     ##使用UTC时间
vim /etc/adjtime
timedatectl set-local-rtc 1     ##使用当地时间
vim /etc/adjtime
timedatectl set-time "2018-11-11 11:11:11"   ##修改当前时间
date







你可能感兴趣的:(LINUX日志查看管理)