新秀篇 ##Linux日志的采集与远程同步##

1.日志的采集（日志在内存里）
*.*           文件名称   【设置日志】
日志类型.日志级别       日志存放文件

日志类型
auth       #用户登陆日志（pam产生日志）
authpriv   #服务认证日志（sshd认证）
kern       #内核认证
cron       #定时任务日志
lpr        #打印机日志
mail       #邮件日志
new        #新闻
user       #用户相关程序日志
local      #用户自定义日志



日志级别
debug      #系统调试信息
info       #常规信息
waring     #警告信息
err        #报错（级别低，组织某个功能不能正常工作）
crit       #报错（级别高，组织整个软件或系统不能正常工作）
none       #不采集任何日志信息
emerg      #内核崩溃

vim /ect/rsyslog.conf    #查看日志配置文件

auth.debug           /var/log/westos(westos可以自己定义）
auth.*
*.*                  /var/log/log.all

系统常用日志
/var/log/messages     #所有日志级别的常规信息（不包含邮件，服务认证，定时任务）
/var/log/maillog      #邮件日志
/var/log/secure       #服务认证日志

/var/log/cron         #定时任务日志

2.日志远程同步
在日志发送方：
vim /etc/rsyslog.conf
（1）*.*      @172.25.254.XXX#日志接收方地址
（2）systemctl restart  rsyslog
（3）systemctl  restart sshd.service  重启

在日志接收方：
（1）vim /etc/rsyslog.conf
     15  $Modload imudp
     16  $UDPServerRun 514
（2）systemctl restart  rsyslog
（3）关闭火墙：systemctl stop firewalld
             systemctl disable firewalld

（4）cat  /var/log/messages  查看

3.定义日志采集格式
vim /etc/rsyslog.conf
$template 格式名称，“日志采集格式"
*.info;mail.none;authpriv.none;cron.none
$template westos,"%timegenerated% %FROMHOST-IP%  %syslogtag% %msg%\n"
%timegenerated%      #日志生成时间
%FROMHOST-IP%        #日志来源主机的ip
%syslogtag%          #日志生成程序
%msg%                #日志内容
\n                   #换行
*.info;mail.none;authpriv.none;cron.none

4.journalctl      ##日志查看工具，直接查看内存中的日志
     -n 3      #最新的3条
     -p err    #报错的日志
     -f        #监控日志（ctrl+c退出监控）
     --since #从什么时间开始   --until  #到什么时候
     -o verbose #查看日志详细参数  /_pid=xxx   journalctl _pid=xxx     ##查看PID『systemctl status sshd』
    ##实验步骤：
      systemctl status sshd   ##查看pid
      systemctl restart sshd   ##重开启一个sshd，每重启一次PID就会不一样
      journalctl -o verbose   在这里面找想看到的PID（/_PID）
      journalctl _PID=651   ##查看PID=651的日志

5.对systemd-journald管理：

                      默认此程序只负责对日志进行查看而不对日志进行保存和采集，那么关机后在开机，对日志进行查看，只能查看到开机后的日志，系统之前的日志因为保存在内存中，所以关机后被清空了，那么在开机时用journalctl看不到的

##如何让systend-journald保存日志的硬盘中？
mkdir /var/log/journal
chown root.systemd-journal  /var/log/journal
chmod g+s /var/log/journal
killall -1 systemd-journald
journalctl -n 3
date
reboot
journalctl

6.时间同步【220为服务端，120为客户端】
在服务端共享时间【关闭火墙】
 vim /ect/chrony.conf
 29 local sratum 10  #开启时间共享功能并设定共向级别，这个参数开启后本机不去同步别人的时间到本机
 22 allow 172.25.254.0/24   #允许那些客户端来访问本机的共享时间
systemctl restart chronyd
在客户端：
vim /etc/chrony.conf
删除四行里的后三行，第一行改成下行文字
server 172.25.254.220 iburst
systmctl restart chronyd
chronyc sources -v

210 Number of sources = 1

  .-- Source mode  '^' = server, '=' = peer, '#' = local clock.
 / .- Source state '*' = current synced, '+' = combined , '-' = not combined,
| /   '?' = unreachable, 'x' = time may be in error, '~' = time too variable.
||                                                 .- xxxx [ yyyy ] +/- zzzz
||                                                /   xxxx = adjusted offset,
||         Log2(Polling interval) -.             |    yyyy = measured offset,
||                                  \            |    zzzz = estimated error.
||                                   |           |                         
MS Name/IP address         Stratum Poll Reach LastRx Last sample
===============================================================================
^* 172.25.254.220               10   6     7     1   -292ns[  +29ms] +/-  163us

7.时间修改
timedatectl       ##查看时间
timedatectl list-timezones    ##查看所有时区时间
timedatectl set-timezone Asia/Shanghai   ##修改时间定为上海
timedatectl
date                 ##显示时间
timedatectl set-local-rtc 0     ##使用UTC时间
vim /etc/adjtime
timedatectl set-local-rtc 1     ##使用当地时间
vim /etc/adjtime
timedatectl set-time "2018-11-11 11:11:11"   ##修改当前时间
date