系统日志信息的采集及时间同步

一.日志采集
(1)linux系统日志
功能:审计和监测.它还可以实时的监测系统状态,监测和追踪侵入者等等
日志对于安全来说,非常重要,它记录了系统每天发生的各种各样的事情,你可以通过它来检查错误发生的原因,或者受到攻击时,攻击者留下的痕迹.
“ /var/log ”是存放日志的位置,“ rsyslog ”负责采集日志和分类存放日志
rsyslog.service服务的作用:采集日日志而不是产生日志
(1)日志类型

auth          #用户登陆日志(pam生日志)
authpriv      #服务认证日志(sshd认证)
kern          #内核日志
cron          #定时任务日志
lpr           #打印机日志
mail          #邮件日志
news          #新闻
user          #用户相关程序日志
local  1-7    #用户自定义日志

(2)日志级别

debug              #系统调试信息
info               #常规信息
warning            #警告信息
err                #报错(级别低,阻止了某个工作不能正常工作)
crit               #报错(级别高,阻止了整个软件或整个系统不能正常工作)
alert              #需要立即修改的信息
emerg              #内核崩溃
none               #不采集任何日志信息

(3)系统常用日志

/var/log/messages     #所有日志级别的常规信息(不包含邮件,服务认证,定时任务)
/var/log/maillog      #邮件认证
/var/log/secure       #服务认证日志
/var/log/cron         #定时任务日志

(4)管理日志的配置文件

vim /etc/rsyslog.conf        查看并修改采集日志文件配置,使我们能够采集日志到指定位置

系统日志信息的采集及时间同步_第1张图片
二、日志采集
日志的远程同步:
准备工作:
(1)打开两个虚拟机(desktop和server)并更改他们的ip(可用nm-connection-editor #图形设定ip)

(2)更改两个虚拟机的名称(hostname 显示主机名 sudo hostname node1 将虚拟机的名字临时改为node1)(hostname 显示主机名 sudo hostname node2 将虚拟机的名字临时改为node2)

(3)在真机中打开两个shell,用ssh命令分别连接两个虚拟机(注:ctrl+shift+t #再打开一个shell)
实验环境:
node1(desktop): 客户端 172.25.254.126(接受方)
node2(sesrver): 服务端 172.25.254.226(发送方)
(1)接受方做调式
systemctl stop firewalld.service 首先关闭火墙
vim /etc/rsyslog.conf 接收方打开UDP配置
在这里插入图片描述
在这里插入图片描述

systemctl restart rsyslog.service              重启日志
 > /var/log/messages                           清空日志
 cat /var/log/messages                         查看日志

系统日志信息的采集及时间同步_第2张图片

(2)发送方做调式

vim /etc/rsyslog.conf 
systemctl restart rsyslog.service 

系统日志信息的采集及时间同步_第3张图片
在这里插入图片描述

*.*     文件名称(绝对路径)      日志类型.日志级别    日志存放的文件

在这里插入图片描述
接受方查看
在这里插入图片描述
自定义日志的设置

vim /etc/rsyslog.conf 
systemctl restart rsyslog

在这里插入图片描述
注意:
$template 格式名称,“日志采集格式”

在47行加入$template messages,"%timegenerated% %FROMHOST—IP% %syslogtag% %msg%\n

在54行加入54 *.info;mail.none;authpriv.none;cron.none /var/log/messages;westos(定义为westos格式)
系统日志信息的采集及时间同步_第4张图片
系统日志信息的采集及时间同步_第5张图片
二.journalctl命令

  1. 一种改进的日志管理服务,是 rsyslog 的补充,收集来自内核、启动过程早期阶段、标 准输出、系统日志,守护进程启动和运行期间错误的信息

  2. .syslog 的信息也可以由 systemd-journald 转发到 rsyslog 中进一步处理3.syslog 的信息也可以由 systemd-journald 转发到 rsyslog 中进一步处理

格式:journalctl + 参数 日志的查看
具体参数的含义:

 -p   err                 #查看报错日志
 -f                       #监控 (用户ctrl+c结束监控)
 -n      3                #最新(new)的三条日志
 -o   verbose             #查看日志详细参数
 journalctl _PID=84       #直接查看PID为84的程序产生的日志
--since  时间点 --until   时间点      #查看从何时到何时的日志

例子: journalctl --since 01:30 --until 01:40 #查看从1:30到1:40产生的日志
系统日志信息的采集及时间同步_第6张图片

  journalctl  -p   err                 #查看报错日志

系统日志信息的采集及时间同步_第7张图片

journalctl  -f                       #监控 (用户ctrl+c结束监控)

系统日志信息的采集及时间同步_第8张图片

 journalctl    -n      3                #最新的三条日志

系统日志信息的采集及时间同步_第9张图片

journalctl  -o   verbose             #查看日志详细参数

系统日志信息的采集及时间同步_第10张图片
三.时间同步
与timedatectl有关的命令

timedatectl                            #查看时间信息
timedatectl list-timezones             #查看所有时区
timedatectl set-timezone Asia/Shanghai #设置为上海的时区
timedatectl set-local-rtc  0           #使用UTC时间
cat /etc/adjtime                       #在此文件中显示UTC
timedatectl set-local-rtc  1           #使用local(本地)时间
cat /etc/adjtime                       #在此文件中显示local
date    #查看时间 
timedatectl set-time "年-月-日  时:分:妙"  #修改时间
例如 timedatectl set-time "2018-11-11 11:11:11" 

系统日志信息的采集及时间同步_第11张图片
系统日志信息的采集及时间同步_第12张图片

在这里插入图片描述
系统日志信息的采集及时间同步_第13张图片
系统日志信息的采集及时间同步_第14张图片
实验:
服务端:node2 172.25.254.226
客户端:node1 172.25.254.126
(1)在服务端:

vim /etc/chrony.conf
29行    local startum 10        #开启时间共享功能并设定共享级别
22 行    allow 172.25.254/24   #允许哪些客户来访问本机共享的时间

systemctl restart chronyd.service(chronyd)   #重启该服务        

系统日志信息的采集及时间同步_第15张图片
系统日志信息的采集及时间同步_第16张图片
(2)在客户端:

vim /etc/chrony.conf
server 172.25.254.226 iburst            修改服务端的ip,在第三行

系统日志信息的采集及时间同步_第17张图片
系统日志信息的采集及时间同步_第18张图片
注意: ^* 代表成功 ^? 代表失败

你可能感兴趣的:(系统日志信息的采集及时间同步)