Linux系统入门之系统日志管理（二）指定日志格式与journal

1.日志采集格式

背景：日志信息种类较多，需要提取到用户想要看到的某几类就需要设置日志格式，可以更清晰、更有针对性的看到日志相关参数，方便管理，满足自己或者客户的需求。

方法：配置日志文件/etc/rsyslog.conf

（1）在一台虚拟机中的指定日志格式修改

a.修改日志配置文件 /etc/rsyslog.conf

b.指定日志采集格式

$template VAN," %FROMHOST-IP% %timegenerated% %syslogtag% %msg%\n"

               格式名称  显示主机ip               显示日志时间       日志记录目标 内容 换行
c.指定日志采集格式使用的目录
*.*                                           /var/log/westos;VAN 在指定日志/var/log/westos中采用VAN格式

 

d.重启日志服务：systemctl restart rsyslog.service

e.清空日志文件

f.产生日志，并查看已修改格式

（2）在一台虚拟机中的默认日志格式修改

a.修改日志配置文件 /etc/rsyslog.conf

b.指定默认日志格式为VAN

$ActionFileDefaultTemplate VAN 修改系统默认日志采集格式为VAN

c.重启日志服务

d.清空日志文件

e.产生日志，查看默认日志格式为VAN

（3）在两台虚拟机同步日志接收端中的指定日志格式修改

a.修改日志配置文件 /etc/rsyslog.conf

 

b.指定日志采集格式

$template VAN," %FROMHOST-IP% %timegenerated% %syslogtag% %msg%\n"

               格式名称  显示主机ip               显示日志时间       日志记录目标 内容 换行
c.指定日志采集格式使用的目录
*.*                                           /var/log/westos;VAN 在指定日志/var/log/westos中采用VAN格式

d.重启日志服务：systemctl restart rsyslog.service

e.清空日志文件，发送端发送日志

f.接收端产生日志，并查看已修改格式

 

2. 日志的时间同步服务:chronyd

日志时间同步可以保证客户端接收到服务器日志的时间是其真正产生的时间，以避免不必要的时间误差。

（1）服务端
a.vim /etc/chrony.conf            ##更改配置文件

b.allow ip地址                        ##允许那台主机同步时间
c.local stratum 10                  ##本机不同步任何主机的时间，只作为时间源

d.systemctl restart chronyd   ##重启服务
e.systemctl stop firewalld      ##关闭防火墙，避免数据包被阻挡

（2）. 客户端

a.vim /etc/chrony.conf        ##更改配置文件
b.server ip地址 iburst        ##本机立即同步服务端的时间
c.systemctl restart chronyd   ##重启服务

（3）验证时间是否同步

测试之前确保防火墙关闭。

chronyc sources -v 查看是否同步了主机的时间

 

（4）时间同步设置timedatect

  1.查看当前时间信息：timedatectl =timedatectl status

2.设定当前时间：timedatectl set-time

3.设定当前时区：timedatectl set-timezone

4. 查看所有时区：timedatectl list-timezones

5.timedatectl set-local-rtc 1      ##设定时间计算方式为本地时间

  timedatectl set-local-rtc 0       ## 时间使用UTC计算

3.journal日志服务

1.日志查看工具：journalctl

    （1）日志查看工具：journalctl 

（2）查看最近3条日志：journalctl -n 3

（3）查看错误的日志：journalctl -p err 

（4）查看日志详细参数：journalctl -o verbose 

（5）journalctl --since           ##查看从什么时间开始的日志
         journalctl --until             ##查看到什么时间为止的日志
         journalctl --since 时间 --until 时间      ##查看从什么时间开始到什么时间结束的日志

2.将日志信息保存到硬盘中

背景：默认systemd-journald 不会将系统日志保存到硬盘，只能查看当前次开机后的日志。若想查看开机前日志信息，需将系统日志保存到硬盘。

在硬盘中创建区域保存journal日志通过以下步骤可以实现：

（1）建立日志文件夹，改变日志的所有组，使该文件夹下的日志所有组为文件夹所有组

（2）通过bootclt我们可以看到，日志信息存放的硬盘id

（3）关机重启后，开机前的日志中仍然可以查到。