Linux(rhel8.0)企业级日志管理及优化方式
实验环境
两台互相连通的主机:
本章实验的主机名及IP地址为:
han :172.25.254.120
xiaopang :172.25.254.220
journald下的日志管理
系统服务名称:systemd-journald.service
查看工具:journalctl
默认日志存放路径:/run/log
注意:日志是由程序本身产生的,systemd-journal.service 只是把程序产生的日志按照某种格式采集起来并保存到默认路径
journalctl命令的用法
journalctl 直接查看日志
如:
-n 3 查看最新三行的日志
--since "2020-02-14 11:40" ##显示什么时间的日志
--until "2020-02-14 11:40" ##显示什么时间之前的日志
-o 参数的使用
# short 经典模式显示日志
# verbose 显示日志的全部字节
# export 适合传输和备份的二进制格式
# json js格式的显示输出
-p 参数的使用 显示制定级别的日志
#0 emerg #系统严重问题的日志
#1 alert #系统中要立即更改的信息
#2 crit #严重级别会导致系统不能正常工作的日志
#3 err #程序报错日志
#4 waring #程序警告日志
#5 notice #重要信息的普通日志
#6 info #普通信息
#7 debug #查看排错日志
-F PRIORITY ##查看可控日志级别
-u sshd ##制定查看sshd这个服务的日志
--disk-usage ##查看日志存放的空间有多大
--vacuum-size=1G ##设定日志存放空间
--vacuum-time=1w ##设定日志在系统中最长存放时间
注意:空间和时间都是临时设定
永久设定在 /etc/systemd/journald.conf
jourmactl _PID=729 _SYSTEMD_UNIT=ssh.service ##查看sshd程序pi d=729 的日志
插图:
journald服务永久的存放日志
系统中默认日志在:/run/log/journal
默认方式在系统重启后日志会被清理
实验步骤:
1:建立 mkdir /var/log/journal
2:设置权限
chgrp systemd-journal /var/log/journal/
chmod 2774 /var/log/journal/
3: 重启 systemd-journald.service 服务
命令:systemctl restart systemd-journald.service
重启后日志存放路径会被指定到:/var/log/journal
4: 设置存放空间大小
命令:journalctl --vacuum-size=1G 设置存放空间大小为1G
测试:
1.在操作以上步骤之前查看日志
2.重启系统
3.再次查看日志
4.可以看到日志是不会保存下来的,只能看到重启之后的日志
5.完成实验操作再次重启,可以看到日志被保存下来了
rsyslog命令下的日志管理
系统服务名称:rsyslog.service
日志存放:
/var/log/messages 系统服务日志,常规信息,服务报错
/var/log/secure 系统认证信息日志
/var/log/maillog 系统邮件日志信息
/var/log/cron 系统定时任务信息
/var/log/boot.log 系统启动日志信息
rsyslog命令依赖的配置文件:/etc/rsyslog.conf
自定义日志采集
vim /etc/rsyslog.conf
设置方式:
日志类型.日志级别 日志存放路径
* .* /var/log/westos ##把系统中所有级别的日志存放到/var/log/westos 中
日志类型:
auth #用户认证
authpriv #服务认证
cron ##时间认证
kern #内核认证
mail #邮件认证
news #系统更新信息认证
user #用户认证
日志级别:
emerg #系统严重问题的日志
alert #系统中要立即更改的信息
crit #严重级别会导致系统不能正常工作的日志
err #程序报错日志
waring #程序警告日志
notice #重要信息的普通日志
info #普通信息
debug #查看排错日志
none #什么都不记录
none的举例:
在vim /etc/rsyslog/conf 中 rules下输入
输入设置命令:. ;authpriv.none /var/log/westos
表示把除了authpriv级别以外的所有日志都存放在 /var/log/westos
如何更改日志采集格式
实验步骤:
1.打开 vim /etc/rsyslog.conf
2.设置方式:
$template WESTOS, "%timegenerate% %HOSTFROM-IP% %syslogtag% %msg%\n"
指定设置为那些日志生效
注意:WESTOS: ##格式名称
%timegenerate% ##日志生成时间
%HOSTFROM-IP% ##日志来源主机IP
%syslogtag% ##日志生成服务
%msg% ##日志内容
\n ##换行
日志远程同步
实验环境:
xiaopang :172.25.254.120 发送日志到 han中
han :172.25.254.220 #存放日志作为接受端,所有人日志存放到此台主机
实验步骤
1.在xiaopang :172.25.254.220 发送日志到 han中
han :172.25.254.120 中设定接受所有人日志
关闭防火墙
打开 vim /etc/rsyslog.conf
找到 $ModLoad imudp ##打开日志接受插件
$UDPSserverRun 514 ##指定插件使用接口
查询端口
命令:netstat -antlupe | grep rsyslog
2.xiaopang中设定发送日志到han中
vim /etc/rsyslog.conf
设置*.* @172.25.254.120
注意:
@ 表示udp传输日志
@@ 表示使用tcp传输日志
eg:
@172.25.254.120 表示用udp传输日志到172.25.254.120
测试
在han和xiaopang 中
> /var/log/messages
在xiaopang中
logger westos haha
在han中就可以看到xiaopang中生成的日志
timedatectl
设定时间命令:
timedatectl set-time “2020-02-15 01:06:25”
设定时区
查看所有可以设定的时区:timedatectl list-timezones
设定某个(上海)特定的时区:timedatectl set-timezone “Asia/Shanghai”
设定系统时间计算方式
timedatectl set-local-rtc 0|1
0:表示使用UTC时间计算方式
1:表示使用普通时间计算方式
时间同步服务
服务名称:chromed.service
配置文件:/etc/chrony.conf
在han中作为时间源,xiaopang同步han时间
在han中
vim /etc/chrony.conf
修改:
allow 172.25.254.0/24 允许172.25.254.0网段主机同步时间
打开:
local stratum 10 开启时间同步服务器功能并设定级别为10
systemctl restart chronyed.service
systemctl stop firewalld
在xiaopang中
vim /etc/chrony.conf
pool 172.25.254.120 iburst
systemctl restart chronyed.service
查看时间
在xiaopang中查看时间
时间变成han中的时间
使用 chronyc suorces -v
查看时间效果
