Linux中的日志管理模块

                                                              ###系统日志的管理###

1. rsyslog      ##此服务是用来采集日志的,它不生产日志,只是起到采集作用

2.rsyslog的管理

 /var/log/messages         ##服务信息的日志

 /var/log/secure           ##系统登陆日志

 /var/log/cron             ##定时任务日志

 /var/log/maillog          ##邮件日志

 /var/log/boot.log         ##系统启动日志

 

 

 指定日志采集路径

     vim /etc/rsyslog.conf  

  在 /var/log/messages和/var/log/secure之间编写

什么类型的日志.什么级别的日志      /var/log/file        ##日志采集规则

例: *.*                   /var/log/westos          ##表示所有的日志都采集到westos里

Linux中的日志管理模块_第1张图片

##日志类型分为:

auth            ##pam生产的日志

authpriv        ##ssh,ftp等登陆信息的验证信息

cron            ##时间任务相关

kern            ##内核

lpr             ##打印

mail            ##邮件

mark(syslog)-rsyslog  ##服务内部的信息,时间标识

news            ##新闻组

user            ##用户程序产生的相关信息

uncp            ##unix to nuix copy,unix主机之间的通讯

local 1~7       ##自定义的日志设备

 

##日志级别分为:

debug                 ##有调式信息的,日志信息最多

info                  ##一般信息的日志,最常用

notice                ##最具有重要性的普通条件的信息

warning               ##警告级别

err                   ##错误级别,组织某个功能或者模块不能正常工作的信息

crit                  ##严重级别,组织整个系统或者整个软件不能正常工作的信息

alert                 ##需要立即修改的信息

emerg                 ##内核崩溃等严重小哦描写哦

none                  ##什么都不记录

  注意:从上到下,级别从低到高,记录的信息越来越少

  详细的可以查看手册:man 3 syslog

 

3.日志的远程同步

在日志的发送方:

 vim /etc/rsyslog.conf  

*.*   @172.25.254.200      ##"@"表示udp协议发送,“@@”表示tcp协议发送

 

systemctl restart rsyslog

 

 

在日志的接受方:

vim /etc/rsyslog.conf

15 $ModLoad imudp       ##日志接受模块

16 $UDPServerRun 514    ##开启接受端口

 

systemctl restart rsyslog

systemctl stop firewalld   ##关闭火墙

systemctl disable firewalld   ##设定火墙开机关闭

 

测试:

在发送方和接受方都清空日志

> /var/log/messages    ##两边都做

 

在日志的发送方

logger test

 

cat /var/log/messages  ##查看日志已生成

 

在日志的接受方:

cat /var/log/messages    ##日志接受方

 

Linux中的日志管理模块_第2张图片

 

###日志采集格式的设定###

vim /etc/rsyslog.conf

 

$template LOGFMT, "%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n"

 

%timegenerated%      ##显示日志时间

%FROMHOST-IP%        ##显示主机ip

%syslogtag%          ##日志记录目标

%msg%                ##日志内容

\n                   ##换行

 

*.*     /var/log/westos;LOGFMT

 

cat /var/log/westos

 

 

###时间同步服务###

服务名称

chronyd

在服务端:

vim /etc/chrony.conf

22 allow 172.25.254.0/24     ##允许0-24客户端来同步本机时间

29 local stratum 10          ##本机不同步任何主机的时间,本机作为时间源

 

systemctl restart chronyd

timedatectl set-timezone Asia/Shanghai  ##更改当前时区为东8区

 

在客户端:

vim /etc/chrony.conf

server 172.25.254.200 iburst  ##本机立即同步200主机的时间

 

systemctl restart chronyd

timedatectl set-timezone Asia/Shanghai  ##更改当前时区为东8区

 

测试:

##在客户端

chronyc sources –v

Linux中的日志管理模块_第3张图片

Linux中的日志管理模块_第4张图片

###timedatectl命令###

timedatectl        ##管理系统时间

timedatectl   status   ##设定当前时间信息

              set-time   ##设定当前时间

              set-timezone  ##设定当前时区

              set-local-rtc 0|1   ##设定是否使用utc时间

               list-timezone   ##查看支持的所有时区

Linux中的日志管理模块_第5张图片

 

####journal####

1.journalctl           ##日志查看工具(看不了开机前的日志)

             -n 3       ##查看最近3条日志

             -p  err    ##查看错误日志

             -o  verbose ##查看日志的详细参数

             --since "2018-07-24 14:22:00"    ##查看从什么时间开始的日志

             --until "2018-07-24 14:23:00"    ##查看到什么时间为止的日志

Linux中的日志管理模块_第6张图片

Linux中的日志管理模块_第7张图片

2.如何使用systemd-journal 保存系统日志

 默认systemd-journald是不保存系统日志到硬盘的

那么关机后再次开机只能看到本次开机之后的日志

上次关机之前的日志是无法查看的,那么怎么生成永久生效的日志呢,以下就是步骤

mkdir /var/log/journal

chgro systemd-journal /var/log/journal

chmod g+s /var/log/journal

killall -1 systemd-journald

 

ls /var/log/journal

946cb0e817ea4adb16183df8c4fc817

Linux中的日志管理模块_第8张图片

 

 

 

 

 

 

你可能感兴趣的:(Linux中的日志管理模块)