系统日志信息的采集及时间同步

一.日志采集
（1）linux系统日志
功能：审计和监测.它还可以实时的监测系统状态，监测和追踪侵入者等等
日志对于安全来说，非常重要，它记录了系统每天发生的各种各样的事情，你可以通过它来检查错误发生的原因，或者受到攻击时，攻击者留下的痕迹.
“ /var/log ”是存放日志的位置，“ rsyslog ”负责采集日志和分类存放日志
rsyslog.service服务的作用：采集日日志而不是产生日志
（1）日志类型

auth          #用户登陆日志（pam生日志）
authpriv      #服务认证日志（sshd认证）
kern          #内核日志
cron          #定时任务日志
lpr           #打印机日志
mail          #邮件日志
news          #新闻
user          #用户相关程序日志
local  1-7    #用户自定义日志

（2）日志级别

debug              #系统调试信息
info               #常规信息
warning            #警告信息
err                #报错（级别低，阻止了某个工作不能正常工作）
crit               #报错（级别高，阻止了整个软件或整个系统不能正常工作）
alert              #需要立即修改的信息
emerg              #内核崩溃
none               #不采集任何日志信息

（3）系统常用日志

/var/log/messages     #所有日志级别的常规信息（不包含邮件，服务认证，定时任务)
/var/log/maillog      #邮件认证
/var/log/secure       #服务认证日志
/var/log/cron         #定时任务日志

(4)管理日志的配置文件

vim /etc/rsyslog.conf        查看并修改采集日志文件配置，使我们能够采集日志到指定位置

二、日志采集
日志的远程同步:
准备工作：
（1）打开两个虚拟机（desktop和server）并更改他们的ip（可用nm-connection-editor #图形设定ip）

（2）更改两个虚拟机的名称（hostname 显示主机名 sudo hostname node1 将虚拟机的名字临时改为node1）（hostname 显示主机名 sudo hostname node2 将虚拟机的名字临时改为node2）

（3）在真机中打开两个shell，用ssh命令分别连接两个虚拟机(注：ctrl+shift+t #再打开一个shell)
实验环境：
node1（desktop）： 客户端 172.25.254.126(接受方)
node2（sesrver）： 服务端 172.25.254.226（发送方）
(1)接受方做调式
systemctl stop firewalld.service 首先关闭火墙
vim /etc/rsyslog.conf 接收方打开UDP配置

systemctl restart rsyslog.service              重启日志
 > /var/log/messages                           清空日志
 cat /var/log/messages                         查看日志

(2)发送方做调式

vim /etc/rsyslog.conf 
systemctl restart rsyslog.service 

*.*     文件名称（绝对路径）      日志类型.日志级别    日志存放的文件

接受方查看

自定义日志的设置

vim /etc/rsyslog.conf 
systemctl restart rsyslog

注意:
$template 格式名称,“日志采集格式”

在47行加入$template messages,"%timegenerated% %FROMHOST—IP% %syslogtag% %msg%\n

在54行加入54 *.info;mail.none;authpriv.none;cron.none /var/log/messages;westos(定义为westos格式)


二.journalctl命令

1. 一种改进的日志管理服务，是 rsyslog 的补充，收集来自内核、启动过程早期阶段、标 准输出、系统日志，守护进程启动和运行期间错误的信息

2. .syslog 的信息也可以由 systemd-journald 转发到 rsyslog 中进一步处理3.syslog 的信息也可以由 systemd-journald 转发到 rsyslog 中进一步处理

格式:journalctl + 参数 日志的查看
具体参数的含义:

 -p   err                 #查看报错日志
 -f                       #监控 （用户ctrl+c结束监控）
 -n      3                #最新（new）的三条日志
 -o   verbose             #查看日志详细参数
 journalctl _PID=84       #直接查看PID为84的程序产生的日志
--since  时间点 --until   时间点      #查看从何时到何时的日志

例子: journalctl --since 01:30 --until 01:40 #查看从1：30到1：40产生的日志

  journalctl  -p   err                 #查看报错日志

journalctl  -f                       #监控 （用户ctrl+c结束监控）

 journalctl    -n      3                #最新的三条日志

journalctl  -o   verbose             #查看日志详细参数

三.时间同步
与timedatectl有关的命令

timedatectl                            #查看时间信息
timedatectl list-timezones             #查看所有时区
timedatectl set-timezone Asia/Shanghai #设置为上海的时区
timedatectl set-local-rtc  0           #使用UTC时间
cat /etc/adjtime                       #在此文件中显示UTC
timedatectl set-local-rtc  1           #使用local（本地）时间
cat /etc/adjtime                       #在此文件中显示local
date    #查看时间 
timedatectl set-time "年-月-日  时：分：妙"  #修改时间
例如 timedatectl set-time "2018-11-11 11:11:11" 

实验:
服务端:node2 172.25.254.226
客户端:node1 172.25.254.126
(1)在服务端:

vim /etc/chrony.conf
29行    local startum 10        #开启时间共享功能并设定共享级别
22 行    allow 172.25.254/24   #允许哪些客户来访问本机共享的时间

systemctl restart chronyd.service（chronyd）   #重启该服务        

(2)在客户端:

vim /etc/chrony.conf
server 172.25.254.226 iburst            修改服务端的ip,在第三行

注意： ^* 代表成功 ^? 代表失败