系统日志的管理

1.rsyslog

##此服务是用来采集系统日志的,他不产生日志,只是起到采集作用

2.rsyslog的管理


/var/log/messages     #服务信息日志
/var/log/cesure        #系统登陆日志
/var/log/cron        #定时任务日志
/var/log/maillog    #邮件日志    
/var/log/boot.log     #系统启动日志

 

3.日志的远程同步

在日志发送方:
vim /etc/rsyslog.conf
*.*                                                  @172.25.254.130                                 ##"@“表示udp协议发送,”@@“标示ftp协议发送
systemctl      restart    rsyslog.service


在日志接收方:
vim /etc/rsyslog.conf

#15 $ModLoad imudp  #日志接受模块
#16 $UDPServerRun  514 #开启接收端



systemctl restart rsyslog.service
systemctl  stop firewalld.service      ##关闭火墙
systemctl  disable  firewalld               ##设定火墙开机关闭

系统日志的管理_第1张图片


测试:
在发送方和接收方都清空日志文件
>  /var/log/messages

在日志的发送方
logger  123(123内容可随意更改)

cat /var/log/messages      ##查看日志已经生成

系统日志的管理_第2张图片
在日志接收方查看

cat /var/log/messages

 

4.日志采集格式的设定

 

vim /etc/rsyslog.conf


$template  FOREVER, "%timegenerated%  %FROMHOST-IP%  %syslogtag%  %msg%\n"
%timegenerated%            ##显示日志时间
%FROMHOST-IP%          ##显示主机ip
%syslogtag%                    ##日志记录目标
%msg%                             ##日志内容
\n                                        ##换行

*.*         /var/log/student;FOREVER

cat   /var/log/tsudent

系统日志的管理_第3张图片

5.时间同步服务

服务名称  chronyd

在服务端:

vim /etc/chrony.conf

# 22 allow 172.25.254.0/24    ##允许那些客户端来同步本机时间
# 29 local stratum 10        ##本机不同步任何主机的时进,本纪作为时间源

systemctl restart chronyd
timedatectl set-timezone Asia/Shanghai    ##更改当前时区为东8区(当然此时间可以更改)

系统日志的管理_第4张图片


在客户端:

vim /etc/chrony.conf
server  172.25.254.230   iburst                       ##本机立即同步230主机的时间

systemctl restart chronyd
timedatectl set-timezone Asia/Shanghai    ##更改当前时区为东8区

 

测试(客户端)

chronyc sources -v   (下图出现时说明同步成功)

系统日志的管理_第5张图片

5.timedatectl命令

timedatectl       status              ##显示当前时间信息
                            set-time           ##设定当前时间

                            set-timezone  ##设定当前时区

                            set-local-rtc 0|1  ##设定是否使用utc时间
                            list-timezone       ##查看支持的所有时区

6.journal命令(日志查看工具)

1.

journalctl  +  
                        -n  3        ##查看最近3条日志
                        -p err      ##查看错误日志
                        -o verbose    ##查看日志的详细参数
                        --since      ##查看从什么时间开始的日志
                        --until        ##查看到什么时间为止的日志

系统日志的管理_第6张图片

2.如何使用systemed-journald保存系统日志

默认systemed-journald是不保存系统日志到硬盘的
那么关机后再次开机只能看到本次开机之后的日志
上一次关机之前的日志是无法查看的

方法:

mkdir   /var/log/journal
chgrp  systemd-journal /var/log/journal
chmod  g+s  /var/log/journal
killall  -1  systemd-journald

ls  /var/log/journal
946cb0e817ea4adb916183df8c4fc817

完事用journalcal查看之前的日志

系统日志的管理_第7张图片

 

 

 

 

你可能感兴趣的:(Linux)