Linux中的日志管理模块

                                                              ###系统日志的管理###

1. rsyslog      ##此服务是用来采集日志的，它不生产日志，只是起到采集作用

2.rsyslog的管理

 /var/log/messages         ##服务信息的日志

 /var/log/secure           ##系统登陆日志

 /var/log/cron             ##定时任务日志

 /var/log/maillog          ##邮件日志

 /var/log/boot.log         ##系统启动日志

 

 

 指定日志采集路径

     vim /etc/rsyslog.conf  

  在 /var/log/messages和/var/log/secure之间编写

什么类型的日志.什么级别的日志      /var/log/file        ##日志采集规则

例： *.*                   /var/log/westos          ##表示所有的日志都采集到westos里

##日志类型分为：

auth            ##pam生产的日志

authpriv        ##ssh,ftp等登陆信息的验证信息

cron            ##时间任务相关

kern            ##内核

lpr             ##打印

mail            ##邮件

mark(syslog)-rsyslog  ##服务内部的信息，时间标识

news            ##新闻组

user            ##用户程序产生的相关信息

uncp            ##unix to nuix copy,unix主机之间的通讯

local 1~7       ##自定义的日志设备

 

##日志级别分为：

debug                 ##有调式信息的，日志信息最多

info                  ##一般信息的日志，最常用

notice                ##最具有重要性的普通条件的信息

warning               ##警告级别

err                   ##错误级别，组织某个功能或者模块不能正常工作的信息

crit                  ##严重级别，组织整个系统或者整个软件不能正常工作的信息

alert                 ##需要立即修改的信息

emerg                 ##内核崩溃等严重小哦描写哦

none                  ##什么都不记录

  注意：从上到下，级别从低到高，记录的信息越来越少

  详细的可以查看手册：man 3 syslog

 

3.日志的远程同步

在日志的发送方：

 vim /etc/rsyslog.conf  

*.*   @172.25.254.200      ##"@"表示udp协议发送，“@@”表示tcp协议发送

 

systemctl restart rsyslog

 

 

在日志的接受方：

vim /etc/rsyslog.conf

15 $ModLoad imudp       ##日志接受模块

16 $UDPServerRun 514    ##开启接受端口

 

systemctl restart rsyslog

systemctl stop firewalld   ##关闭火墙

systemctl disable firewalld   ##设定火墙开机关闭

 

测试：

在发送方和接受方都清空日志

> /var/log/messages    ##两边都做

 

在日志的发送方

logger test

 

cat /var/log/messages  ##查看日志已生成

 

在日志的接受方：

cat /var/log/messages    ##日志接受方

 

 

###日志采集格式的设定###

vim /etc/rsyslog.conf

 

$template LOGFMT, "%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n"

 

%timegenerated%      ##显示日志时间

%FROMHOST-IP%        ##显示主机ip

%syslogtag%          ##日志记录目标

%msg%                ##日志内容

\n                   ##换行

 

*.*     /var/log/westos;LOGFMT

 

cat /var/log/westos

 

 

###时间同步服务###

服务名称

chronyd

在服务端：

vim /etc/chrony.conf

22 allow 172.25.254.0/24     ##允许0-24客户端来同步本机时间

29 local stratum 10          ##本机不同步任何主机的时间，本机作为时间源

 

systemctl restart chronyd

timedatectl set-timezone Asia/Shanghai  ##更改当前时区为东8区

 

在客户端:

vim /etc/chrony.conf

server 172.25.254.200 iburst  ##本机立即同步200主机的时间

 

systemctl restart chronyd

timedatectl set-timezone Asia/Shanghai  ##更改当前时区为东8区

 

测试：

##在客户端

chronyc sources –v

###timedatectl命令###

timedatectl        ##管理系统时间

timedatectl   status   ##设定当前时间信息

              set-time   ##设定当前时间

              set-timezone  ##设定当前时区

              set-local-rtc 0|1   ##设定是否使用utc时间

               list-timezone   ##查看支持的所有时区

 

####journal####

1.journalctl           ##日志查看工具（看不了开机前的日志）

             -n 3       ##查看最近3条日志

             -p  err    ##查看错误日志

             -o  verbose ##查看日志的详细参数

             --since "2018-07-24 14:22:00"    ##查看从什么时间开始的日志

             --until "2018-07-24 14:23:00"    ##查看到什么时间为止的日志

2.如何使用systemd-journal 保存系统日志

 默认systemd-journald是不保存系统日志到硬盘的

那么关机后再次开机只能看到本次开机之后的日志

上次关机之前的日志是无法查看的,那么怎么生成永久生效的日志呢，以下就是步骤

mkdir /var/log/journal

chgro systemd-journal /var/log/journal

chmod g+s /var/log/journal

killall -1 systemd-journald

 

ls /var/log/journal

946cb0e817ea4adb16183df8c4fc817