linux运维---系统日志的管理
1、rsyslog ##此服务时用俩采集系统日志,不生产日志,只是采集
2、rsyslog的管理
var/log/massage ##存储服务信息日志
var/log/secure ##存储系统登陆日志
var/log/cron ##存储定时任务日志
var/log/maillog ##存储邮件日志
var/log/boot.log ##存储系统启动日志
日志类型
suth ##pam产生的日志
authpriv ##ssh,ftp等登陆信息的验证信息
cron ##时间任务相关
kern ##内核
lpr ##打印
mail ##邮件
mark(syslog)-rsyslog ##服务内部的信息,事件标识
news ##新闻组
user ##用户程序产生的相关信息
uucp ##unix to copy,unix主机之间相关的通讯
local 1~7 ##自定义的日志设备
日志级别
debug ##有调式信息的,日志信息最多
info ##一般信息的日志,最常用
notice ##最具有重要性的普通条件的信息
warning ##警告级别
err ##错误级别,阻止某个功能或着模块不能正常工作的信息
crit ##严重级别,阻止整个系统或者整个软件不能呢个正常工作的信息
akert ##需要立即修改的信息
emerg ##内核崩溃等严重信息
none ##什么都不记录
3、日志的远程同步
1)
防火墙
systemctl stop firewalld ##关闭防火墙
systemctl disable firewalld ##设定防火墙开机关闭
systemctl status firewalld ##查看防火墙状态
在日志的发送方
vim /etc/rsyslog.conf
. @172.25.254.237 ##“@”表示用udp协议发送,“@@”表示用tcp发送
systemctl restart rsyslog ##重启
在日志的接收方
systemctl stop firewalld ##关闭防火墙
vim /etc/rsyslog.conf
15行 $ModLoad imudp ##日志接受模块
16行 $UDPServerRun 514 ##开启接收端口
systemctl restart rsyslog
测试
在发送方和接受方都清空日志文件— 用 > /var/log/messages命令
在日志的发送方输入测试命令— logger test
用 cat /var/log/messages ##查看日志已经生成
在日志的接收方查看是否已经收到 — cat /var/log/messages
2)
日志采集格式的设定
接收端主机
vim /etc/rsyslog.conf
$template WESTOS, "%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n"
\
%timegenerated% ##显示日志时间 \
%FROMHOST-IP% ##显示主机ip |
%syslogtag% ##日志记录目标 |
%msg%\n ##日志内容 |
\n ##换行 |
*.* /var/log/messages;WESTOS 以WESTOS所定义的格式
修改后需要重启服务 systemctl restart rsyslog,再查看日志,可以看到修改的效果
5、journalctl
1)journalctl ##日志查看工具
journalctl -n 3 ##查看最近3条日志
journalctl -p err ##查看错误日志
journalctl --since "10:58" ##查看从什么时间开始的日志
journalctl --until "10:58" ##查看到什么时间为止的日志
journalctl -o verbose ##查看日志的详细参数
journalctl _PID=84
2)如何使用systemd-journald保存系统日志
默认systemd-journald是不保存系统日志到硬盘的,那么关机再开机只能看到本次开机后的日志,上次关机之前的日志时无法查看的。
需要保存,做如下操作:
关闭保存设置----删除建立的文件即可
rm -fr /var/log/journal