系统日志管理

系统日志管理

一.什么是系统日志

   1.系统日志

     由进程产生，可以监控系统中发生的事件，便于用户检查维护，保护系统安全。

  2.日志管理

1.rsyslog                            ##此服务时用来采集系统日志的，他不产生日志，只是起到采集作用

2.rsyslog的管理
/var/log/messages           ##服务信息日志

/var/log/secure             ##系统登陆日志

/var/log/cron               ##定时任务日志

/var/log/maillog            ##邮件日志

/var/log/boot.log           ##系统启动日志

指定日志采集路径

什么类型的日志，什么级别的日志          /var/log/file        ##日志采集规则

二.日志管理服务

   1.日志类型

auth                                 ##pam产生的日志
authpriv                           ##ssh,ftp等登陆信息的验证信息
cron                                 ##时间任务相关
kern                                 ##内核
lpr                                    ##打印
mail                                 ##邮件
mark（syslog）-rsyslog  ##服务内部的信息，时间标识
news                               ##新闻组
user                                 ##用户程序产生的相关信息
uucp                                ##unix to unix copy,unix主机之间相关的通讯

注意：从上到下，级别从低到高，记录的信息越来越少
           详细可以查看手册：man 3 syslog

2.日志的远程同步

在日志发送方：
vim /etc/rsyslog.conf 
*.*    @172.25.254.211      ##"@"表示udp协议发送,“@@”表示tcp协议发送

systemctl restart rsylog

在日志接收方：
vim /etc/rsyslog.conf
15 $ModLoad imudp                   ##日志接收模块
16 $UDPServerRun 514             ##开始接收端口

systemctl restart rsylong    重启
systemctl stop firewalld                ##关闭防火墙
systemctl disable firewalld           ##设定火墙开机关闭

 

测试：

在发送方和接收方都清空日志文件
> /var/log/messages                     ##两边都做

在日志的发送方：
logger test

cat /var/log/messages                  ##查看日志已经生成

在日志接收方查看：
cat /var/log/messages （tail -f /var/log/message 监视后十行）

netstat -anulpe | grep rsyslog查看514接口状态：

3.日志采集格式的设定
vim /etc/rsyslong.conf

$template WESTOS, "%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n"

%timegenerated%                 ##显示日志时间
%FROMHOST-IP%                ##显示主机ip
%syslogtag%                          ##日志记录目标
%msg%                                   ##日志内容
\n                                              ##换行

*.*                       /var/log/westos;LOGFMT

4.时间同步服务
服务名称
chronyd

yum install chrony -y     ##安装服务

在服务端：
vim /etc/chrony.conf      ##主配置文件
22 allow 172.25.254.0/24                                   ##允许那些客户端来同步本机时间
29 local startum 10                                              ##本机不同步任何主机的时进，本机作为时间源

systemctl restart chronyd
timedatectl set-timezone Asia/Shanghai          ##更改当前时区为东8区

在客户端：
vim /etc/chrony.conf
server 170.25.254.200 iburst                             ##本机立即同步200主机的时间

将上图所示内容改成server 170.25.254.200 iburst       

systemctl restart chronyd
timedatectl set-timezone Asia/Shanghai          ##更改当前时区为东8区

#测试：
#在客户端：
[root@foundation30 ~]#chronyc source -v
210 Number of soures =1

 

5.timedatectl 命令
timedatectl                               ##管理系统时间
timedatectl       status              ##显示当前时间信息
                  set-time                  ##设定当前时间
                  set-timezone          ##设定当前时区
                  set-local-rtc 0|1      ##设定是否使用utc时间
                  list-timezone          ##查看支持的所有时区

6.journal命令

1.jounalctl                     ##日志查看工具
          -n 3                     ##查看最近3条日志
          -p err                  ##查看错误日志
          -o verbose         ##查看日志的详细参数
          --since               ##查看从什么时间开始的日志
          --until                  ##查看到什么时间为止的日志

2.如何使用systemd-journald保存系统日志
默认systemd-journald是不保存系统日志到硬盘的，那么关机后再次开机只能看到本次开机之后的日志，上一次，关机之前的日志是无法查看的。

mkdir /var/log/journal
chgrp systemd-journal /var/log/journal
chmod g+s /var/log/journal
killall -1 systemd-journald

ls /var/log/journal
946cb0e817eadb916183df8c4fc817