rsyslog、ntp服务设置
##########################UNIT10
1.系统日志默认分类
/var/log/messages #系统服务及日至,包括服务的信息
/var/log/secure #系统认证信息日至
/var/log/maillog #系统邮件服务信息
/var/log/cron #系统定时任务信息
/var/log/boot.log #系统启动信息
2.日志管理服务rsyslog
1)rsyslog负责日志和分类存放日志
2)rsyslog日志分类
vim /etc/rsyslog.conf 主配置文件
服务.日志级别 存放位置
*.* /var/log/westos
systemctl restart rsyslog
3.格式
日志设备(类型).(连接符号)日志级别 日志处理方式(action)
auth ##pam产生的日志
authpriv ##ssh,ftp等登录信息的验证信息
cron ##时间任务相关
kern ##内核
lpr ##打印
mail ##邮件
mark(syslog)–rsyslog ##服务内部的信息,时间标识
news ##新闻组
user ##用户程序产生的相关信息
uucp ##unix to unix copy, unix主机之间相关的通讯
local 1~7 ##自定义的日志设备
日志级别
debug ##有调式信息的,日志信息最多
info ##般信息的日志,最常用
notice ##最具有重要性的普通条件的信息
warning ##警告级别
err ##错误级别,阻止某个功能或者模块不能正常工作的信息
crit ##严重级别,阻止整个系统或者整个软件不能正常工作的信息
alert ##需要立刻修改的信息
emerg ##内核崩溃等严重信息
none ##什么都不记录
##注意:从上到下,级别从低到高,记录的信息越来越少
##详细的可以查看手册: man 3 syslog
4.日志同步
1)关闭俩台主机的防火墙
systemctl stop firewalld
2)配置日志发送方/etc/rsyslog.conf
*.* @接受方主机IP ##UDP为@,TCP为@@,
3)配置日志接受方/etc/rsyslog.conf
$ModLoad inudp
$UDPServerRun 514
4)查看是否配置好
netstat -anulpe | grep rsyslog
5)测试
清空俩台机子的messages
> /var/log/messages
logger test #日志发送方,logger命令产生日志
tail -f /var/log/messages #日志接受方,监控日志的产生
5.日志采集格式
vim /etc/rsyslof.conf
$ActionfileDefaultTemplate lalala
$templete lalala,"%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n"
*.info;mail.none;authpriv.none;cron.none /var/log/messages;lalala
%timegenerated% #显示日志时间
%FROMHOST-IP% #显示日志来源的主机IP
%syslogtag% #日志记录目标
%msg% #日志内容
\n #换行标记
6.日志分析工具journal
systemd-journald #进程名称
journalctl #直接执行,浏览系统日志
journalctl -n 3 #显示最新3条日志
journalctl -p err #显示报错的日志
journalctl -f #监控日志
journalctl --since #显示yyyy-mm-dd hh:mm:ss之前的日志
journalctl --until #显示yyyy-mm-dd hh:mm:ss之后的日志
journalctl --since --until #显示从。。到。。之间的日志
journalctl -o verbose #显示日志能够使用的详细进程参数
journalctl _SYSTEMD_UNIT=sshd.service #显示sshd的所有信息(不同的PID)
journalctl _PID=进程pid #显示进程号为“pid的”进程信息
7.对systemd-journald管理
默认情况下此程序会忽略重启前的日志信息,若要不忽略:
mkdir /var/log/journal #建立journal目录
chown root:systemd-journal /var/log/journal #更改用户组
chmod 2755 /var/log/journal #更改权限,使journal内的文件自动归属到journal所属用户组
killall -1 systemd-journald #在不关闭服务的前提下,重新加载文件
ls /var/log/journal/4513ad59a3b442ffa4b7ea88343fa55f
system.journal
8.时间同步
1)服务端
yum install chrony -y #安装服务
vim /etc/chrony.conf #主配置文件
21 # Allow NTP client access from local network.
22 allow 172.25.0.0/24 ##允许谁去同步我的时间
27 # Serve time even if not synchronized to any NTP server.
28 local stratum 10 ##不去同步任何人的时间,时间同步服务器级别
systemctl restart chronyd
systemctl stop firewalld
2)客户端
vim /etc/chrony.conf
server serverIP iburst
server 172.25.254.223 iburst
#3 server 0.rhel.pool.ntp.org iburst
#4 server 1.rhel.pool.ntp.org iburst====> server ntpserverip iburst
#5 server 2.rhel.pool.ntp.org iburst====>
#6 server 3.rhel.pool.ntp.org iburst
systemctl restart chronyd
3)测试
chronyc sources -v
210 Number of sources = 1
.-- Source mode '^' = server, '=' = peer, '#' = local clock.
/ .- Source state '*' = current synced, '+' = combined , '-' = not combined,
| / '?' = unreachable, 'x' = time may be in error, '~' = time too variable.
|| .- xxxx [ yyyy ] +/- zzzz
|| / xxxx = adjusted offset,
|| Log2(Polling interval) -. | yyyy = measured offset,
|| \ | zzzz = estimated error.
|| | |
MS Name/IP address Stratum Poll Reach LastRx Last sample
===============================================================================
^* 172.25.254.223 0 7 0 10y +0ns[ +0ns] +/- 0ns
9.timedatectl 命令
timedatectl status #显示当前时间信息
timedatectl set-time #设置当前时间
timedatectl set-timezone #设置当前时区
timedatectl set-local-rtc 0|1 #设置是否使用rtc时间,0否,1是