Linux的日志管理

一、日志管理命令journalctl

1.1 journal命令用法

journalctl命令的用法- journalctl -n 3:日志的最新三条

• journalctl - -since “2020-07-22 19:00:00”:显示19:00后的日志
• journalctl - -until “2020-7-22 19:05:00”:显示日志到19:05
  
  journal -o:设定日志的显示方式
  
  名称|功能
  -|-
  short|经典模式显示日志
  verbose|显示日志的全部字节
  export|适合传出和备份的二进制格式
  json|js格式下显示输出
  
  
  journal -p:显式制定级别的日志
  级别|表示
  -|-
  0 emerg|系统的严重问题日志
  1 alert|系统中立即要更改的信息
  2 crit|严重级别会导致是系统软件不能正常工作
  3 err|程序报错
  4 warning|程序警告
  5 notice|重要信息的普通日志
  6 info|普通信息
  7 debug|程序拍错信息
  
  
  
  
  
  
• journalctl -F PRIORITY:查看可控日志级别
  
• journalctl -u sshd:指定查看服务
  
• journalctl - -disk-usage:查看日志大小
  
• journalctl - -vacuum-size=10G:设定日志存放大小
  
• journalctl - -vacuum-time=1W:日志在系统中的最长存放时间
  
• journalctl -f:监控日志
  

1.2 journal命令使用

1.2.1 用journald服务永久存放日志

系统中默认日志在:/run/log/journal中
默认方式在系统重启后日志会被清理，要永久保存日志需完成以下操作

• mkdir /var/log/journal
• chgrp systemd-journal /var/log/journal
• chmod 2775 /var/log/journal
• systemctl restart system-journald.service
• 当服务重启日志存放路径会被指定到：/var/log/journal
  测试：
• 在操作以上步骤之前查看日志
• 重启系统
• 再次查看日志
• 只能查看到重启之后的日志内容
• 完成永久存放日志操作后再次重启可以看到之前的日志也被保存了下来
  
  
  
  
  

二、日志存放命令rsyslog

2.1 日志存放分类

服务名称:rsyslog.service
日志存放:

存放位置	内容
/var/log/messages	系统服务日志，常规信息，服务报错
/var/log/secure	系统认证信息日志
/var/log/maillog	系统邮件日志信息
/var/log/cron	系统定时任务信息
/var/log/boot.log	系统启动日志信息

配置文件：/etc/rsyslog.conf

2.2自定义日志采集路径

vim/etc/rsyslog.conf

• 日志类型.日志级别-----------------日志存放路径
• ＊　　．　＊　------------------/var/log/westos
  
  
  
  日志类型|日志内容
  -|-
  auth|用户认证
  authpriv|服务认证
  cron|时间任务
  kern|内核类型
  mail|邮件
  news|系统更新信息
  user|用户
  日志级别|级别内容
  -|-
  debug|程序排错信息
  info|程序常规运行信息
  notice|重要信息的普通日志
  waring|程序警告
  err|程序报错
  crit|严重级别会导致系统软件不能正常工作
  alert|系统中立即要更改的信息
  emerg|系统的严重问题日志
  none|不采集
  

2.3、如何更改日志采集格式

2.3.1 定义日志采集格式

$template WESTOS_FORMAL,"%FROMHOST-IP% %timegenerated% %syslogtag% %MSG%\n"

名称	含义
WESTOS_FORMAL	格式名称
%FROMHOST-IP%	日志来源主机IP
%timegenerated%	日志生成时间
%syslogtag%	日志生成服务
%msg%	日志内容
\n	换行

2.3.2 设定日志采集格式应用

• ＊．＊；authpriv.none /var/log/westos；WESTOS
• module（load=”builtin:omfile“ Template=”WESTOS_FORMAT“）默认采用WESTOS_FORMAL格式

三、在westos_client中设定接受所有人的日志

3.1接收方

systemctl stop firewalld:关闭防火墙

• vim /etc/rsyslog.conf
• module（load=”imudp“）打开日志接受插件
• input（type=”imudp“ port=”514“）指定插件使用接口
  
• systemctl restart rsyslog
• 查询端口
  

3.2 发送方

• 打开vim /etc/rsyslog.conf文件
• 输入＊．＊并加上@接收方IP地址
  
• systemctl restart rsyslog.service
• 在myl_client的日志中能看到myl_server的内容
  

3.3 使用journal服务永久存放日志

• mkdir /var/log/journal
• chgrp systemd-journal /var/log/journal
• chmod 2775 /var/log/journal
• systemctl restart systemd-journald

四、timedatectl 时间设定命令

4.1 timedatectl命令的使用

• timedatectl set-time “2020-7-23 09:15:00”:设定系统时间
  
• timedatectl list-timezones:显示系统的所有时区
  
• timedatectl set-timezone:设定系统时区
  
• timedatectl set-local-rtc 0|1:设定系统时间计算方式
  
  

4.2 时间同步服务

服务名称:chronyd.service
配置文件:/etc/chrony.conf
本次同步使用myl_client作为时间源，myl_server同步主机时间
主机:

• 1.打开配置文件/etc/chrony.conf
• 2.在23行处allow 172.25.254.0/24（使用ip），表明允许172.25.254.0/24网段主机进行时间同步
• 3.在26行处开启时间同步服务并将级别设定为10 :# local stratum 10 → loca stratum 10
  
• 4.systemctl restart chronyd.service
• 5.systemctl stop --now fairwalld
  
• 6.systemctl enable --now chronyd.service
  
  同步主机:
• 1.打开配置文件/etc/chrony.conf
• 2.在第三行处pool 172.25.254.104 iburst
  
• 3.systemctl restart chronyd.service
• 4.systemctl stop --now firewalld
  
• 时间源与同步主机设定完毕后使用chronyc sources -v查看，如果显示的是^*则同步完成
  
• 查看时间源时间，再查看同步主机时间发现同步主机时间变为时间源时间