系统日志查看保存篇

采集格式设定步骤:
先在服务端vim /etc/rsyslog.conf 更改设定 使用变量
重启服务!!systemctl restart rsyslog.service
查看格式显示 cat /var/log/westos (westos是新建的查看的地方,可以任意i设置!)
(kernel:内核)

timedatectl命令

timedatectl ##管理系统时间##
timdateectl status ##显示当前时间信息(可加可不加)( 可加可不加指timedatectl= timedatectl status)
timedatectl set-time “2018-07-18 11:11” ##设定当前时间
timedatectl set-timezone 举例:Asia/Dubai ##设定当前时区
timedatectl set-local-rtc 1(本地)或者0(utc ) ##设置是否使用utc时间
timedatectl list-timozone ##查看支持的所有时区

cat /etc/adjtime ##查看是否使用了utc时间
系统日志查看保存篇_第1张图片

journalctl

1.journalctl ##日志查看工具
journalctl -n 3 ##查看最近三条日志
journalctl -p err ##查看错误的日至
journalctl –since “2018-8-11 12:00” –until “2018-8-11 13:22”
#### 查看从什么时间到什么时间的日志(注意since,until和时间之间有空格)
journalctl -o verbose ##查看日志的详细参数
举例: journalctl _PID=3724 _COMM=ssdh
系统日志查看保存篇_第2张图片

系统日志查看保存篇_第3张图片

系统日志查看保存篇_第4张图片

2.如何使用systemd-journalctl保存系统日志
1)建立目录: mkdir /var/log/journal
2)改变所有组: chgrp systemd-journal /var/log/journal
3)加一个强制位:(sgid对目录的作用:当目录上有sgid时,任何人在此目录中建立的文件都属于目录的所有组) chmod g+s /var/log/journal
4)查看进程(为了验证):ps aux | grep systemd-journal
5)重启: killall -1 systemd-journald (注意:是systemd-journald不是systemd-journal)
6)列出验证:ls /var/log/journal/
系统日志查看保存篇_第5张图片

你可能感兴趣的:(系统日志查看保存篇)