Linux 之系统日志篇

1、系统日志的分类

    /var/log/messages         ##系统服务及日志，包括服务的信息，报错等等

/var/log/secure                  ##系统认证信息日志

/var/log/maillog                  ##系统邮件服务信息

/var/log/cron                      ##系统定时任务信息

/var/log/boot.log              ##系统启动信息

2、日志管理服务rsyslog

    rsyslog负责采集日志和分类存放日志；主配置文件为/etc/rsyslog；

  ###格式###

        日志设备(类型).日志级别          日志处理方式（action）

    

  日志设备                                                                             日志级别

auth	pam产生的日志	debug	有调式信息的，日志信息最多
authpriv	ssh,ftp等登录信息的验证信息	info	一般信息的日志，最常用
cron	时间任务相关	notice	最具有重要性的普通条件的信息
kern	内核	warning	警告级别
lpr	打印	err	错误级别，阻止某个功能或者模块不能正常工作的信息
mail	邮件	crit	严重级别，阻止整个系统或者整个软件不能正常工作的信息
mark(syslog)-rsyslog	服务内部的信息,时间标识	alert	需要立刻修改的信息
news	新闻组	emerg	内核崩溃等严重信息
user	用户程序产生的相关信息	none	什么都不记录
uucp	unix to unix copy, unix主机之间相关的通讯
local 1-7	自定义的日志设备
	注：从上到下，级别从低到高，记录的信息越来越少

实例：     

记录到普通文件

*.* /var/log/file.log                  # 绝对路径

查看文件/var/log/file.log内容：

3、日志同步

为了更好的观看实验效果，我们现在将两台主机的名字进行更改，日志的发送方:qq.example.com; 日志的接受方:ww.example.com

首先，主机名更改命令：

hostnamectl set-hostname 名字.exapmle.com，如图 1 ，图 2 所示。

                                             图    1

                                            图    2

操作步骤：

  日志发送方：
           systemctl stop firewalld //关闭防火墙

          

           vim /etc/rsyslog.conf //配置

                    *.* @172.25.254.10(此为接受方的ip)

          

          systemctl restart rsyslog.conf //重启日志采集服务

  日志接收方：

            systemctl stop firewalld //关闭防火墙

            

            vim /etc/rsyslog.conf //配置
                     15 $ModLoad imudp ##日志接受插件

                     16 $UDPServerRun 514 ##日志接收插件使用端口

           

            systemctl restart rsyslog.conf //重启日志采集服务

   两边都执行清除日志命令:

           > /var/log/messages

   日志发送方：systemctl start sshd

   日志接收方： tail -f /var/log/messages

当我们可以在ww下查看到qq的日志信息，此时日志同步操作完成。

如果想要查看日志的具体信息，如时间、ip

需要设置日志采集格式：

$template WESTOS, "%timegenerated%  %FROMHOST-IP%   %syslogtag%   %msg%  \n"

                                           日志时间                    主机ip                    日志记录目标   日志内容

$ActionfileDefaultTemplate WESTOS

*.info;mail.none;authpriv.none;cron.none                                          /var/log/messages；westos

具体操作如下：

 

4、日志分析工具journal

journalctl                    ##直接执行，浏览系统日志

journalctl    -n   3                     ##显示最新3条日志

journalctl   -p     err                 ##显示报错

journalctl    -f                   ##监控日志

journalctl  --since   --until                   ## --since "[YYYY-MM-DD] [hh:mm:ss]" 从什么时间到什么时间的日志

journalctl   -o     verbose                  ##显示日志能够使用的详细进程参数

5、时间同步                                               

当2台虚拟机时间不一致时。我们怎么去同步时间？

需要调整时间的虚拟机称为客户端，提供同步时间的虚拟机成为服务端；

我们以qq端的时间为标准，将ww端的时间进行同步，下面开始实验：

服务端（qq;ip为172.25.254.121）：

         yum install chrony -y                    ##安装服务

         vim /etc/chrony.conf                     ##编辑主配置文件

         

                     21 # Allow NTP client access from local network.
                     22 allow 172.25.0.0/24               ##允许谁去同步我的时间
                     27 # Serve time even if not synchronized to any NTP server.

                     28 local stratum 10                     ##不去同步任何人的时间,时间同步服务器级别

          

          

         systemctl restart chronyd                      ##重启服务

         systemctl stop firewalld                         ##关闭防火墙

         

客户端(ww;ip为172.25.254.221)

         vim /etc/chrony.conf               ##编辑配置文件

                  3 server 172.25.254.121 iburst     ##这里的172.25.254.121为服务端的主机ip

         

在客户端测试，执行chronyc sources -v命令，看是否连接到了服务端。

  

查看ww端的时间：

时间同步成功！

6、timedatectl 命令

 timedatectl  status                     ##显示当前时间信息
                       set-time                 ##设定当前时间
                       set-timezone        ##设定当前时区
                       set-local-rtc 0|1   ##设定是否使用utc时间

                       list-timezone        ##查看支持的所有时区

例如：