日志管理

1.网络服务的配置文件目录:/etc/sysconfig/network-scripts/ifcfg-eth0

日志服务名称rsyslog.service      配置文件目录在/etc/rsyslog.conf

linux日志管理_第1张图片

*.*第一个*表示任何服务,第二个*表示级别

*.infomail.none;authpriv.none;cron.none     /var/log/messages

表示任何服务的日志文件都写入/var/log/messages,除过mail.none;authpriv.none;cron.none

authpriv 表示认证服务   cron 表示进程服务

如何更改日志文件目录:表示将日志信息写入到abc文件中,abc文件是在复位日志服务时自动生成的.

*.info               /mnt/abc

备注:更改了所有服务的配置文件后必须要重起服务systemctl  restart rsyslog.service

表示将日志文件写入/mnt目录下

如何测试:logger  hello world    这样可以把hello world 写入日志文件中,测试之前需要执行setenforce 0   表示降低系统安全级别

 

日至同步

systemctl stop firewalld.service  关闭两边系统防火墙,不然无法推送

在日志接收端     172.25.254.100

vim /etc/rsyslog.conf

 15 $ModLoad imudp####开启udp接收协议

 16 $UDPServerRun 514####开启udp接收端口

linux日志管理_第2张图片

1516行表示打开接受日志传送(以udp协议),在接受日志的主机上打开,如若不打开的话别人是无法将日志推送到本机的

在日志发送端    172.25.254.125

vim /etc/rsyslog.conf

*.*              @172.25.254.100 ####udp协议把本机所有日志发送到172.25.254.100上                              ###@表示使用udp协议,@@表示使用tcp协议

做完配置重启rsyslogd服务

关闭火墙

systemctl stop firewalld

watch -n 1 tail -n 3 /var/log/messages  #####时时监控最新日志

logger test                          ##########产生测试日志

 

2.journal 命令     查看日志的工具命令,默认情况下journal命令只能显示系统重起之后的日志信息

journalctl-n 5     显示最近5行的日志信息

-p err   只显示报错的日志

-f       动态的显示日志,有日志写入时可以看见

--since  --until  根据起始时间和结束时间来显示日志

-o verbose        显示所有日志的详细信息

_pid=_system_unit=     根据 pid 和服务名称来显示日志

 

3.journal设置     目的是可以显示系统重起之前的日志信息

[root@serverX ~]#mkdir /var/log/journal     /var/log/目录下创建journal目录

[root@serverX ~]#chown root:systemd-journal /var/log/journal  更改journal目录的用户组为systemd-journal

[root@serverX ~]#chmod 2755 /var/log/journal  更改journal的权限

suid=4 sgid=2 stid=1         2755中的2表示给原来的权限上添加sgid=2的权限,如下图权限所示

[root@serverX ~]#killall -1 systemd-journald 重新读取这个服务

[root@serverX ~]#ls /var/log/journal/4513ad59a3b442ffa4b7ea88343fa55f

system.journal user-1000.journal   加入操作正确的话journal目录下会生成这个文件

 linux日志管理_第3张图片

时间管理

时间同步

主机中:

linux日志管理_第4张图片 

时间同步服务chronyd.service    配置文件 /etc/chrony.conf

更改配置文件时注释调前四行,然后添加ntp server ip

server  172.25.254.254  iburst    表示立即同步172.25.254.254的时钟

设置完成后重起服务,再次查看时间NTP synchronized: no->yes 会有no变为yes

服务器:

服务器中:

vim /etc/chrony.conf

22行 改成 与服务器ip前三项 例如172.25.39.0/24

29 local前删掉#

刷新

用chronyc sources -v 查看是否同步成功 (^*表示同步成功)