Linux中的日志管理

1.实验环境

需要在关闭防火墙的环境下进行日志管理操作

systemctl stop firewalld              

2.journalctl日志管理

（1）存放位置 

 /run/log/journal/

（2）具体操作

journalctl                      //查看日志

 
journalctl -n 3              //查看最近三条日志

 

ournalctl --since "21:10"               //查看21:10后的日志

 

ournalctl --since "21:10" --until"21:20"           //查看21:10-21:20之间的日志

 
jonrnalctl -o short                   //默认显示格式

 
journalctl -o verbose               //显示日志的全部字节

 
journalctl -o export                 //二进制格式

 
journalctl -o json                     //js格式显示输出

 

ournalctl -p 4                         //显示4级别的日志

 
journalctl -F PRIORITY            //查看可控日志级别

 
journalctl -u sshd                    //查看sshd服务的日志

 
journalctl --disk-usage           //查看日志所占内存大小

 

journalctl --vacuum-size=1G         //设定日志存放的大小

 
journalctl --vacuum-time=1w         //设定日志在系统中最长存放时间

 

ournalctl _PID=1                            //查看PID为1的日志

（3）日志永久存储 

mkdir -p /var/log/journal
chgrp systemd-journal  /var/log/journal

3.rsyslog日志管理

（1）日志内容的采集

vim /etc/rsyslog.conf

修改内容如下：

 执行以下命令

ls /var/log/westos                            

运行结果如下：

 发现无该文件，然后执行以下命令
systemctl restart rsyslog.service             //重启rsyslog服务
cat /var/log/westos

运行结果如下：

 （2）采集格式

vim /etc/rsyslog.conf

修改内容如下图所示:

 

其作用是将WESTOS格式运用到/var/log/westos目录下的日志，运行以下命令

systemctl restart rsyslog.service 
> /var/log/westos                   //删掉所有日志
cat /var/log/westos
logger test
cat /var/log/westos

运行结果如下：

 

vim /etc/rsyslog.conf

编辑内容如下图所示：

作用是将WESTOS日志格式运用到所有日志文件，执行以下命令
systemctl restart rsyslog.service 
cat /var/log/messages

运行结果如下图所示：

发现修改之前的日志格式保持不变，修改后的日志格式发生改变

4.日志同步

（1）实验环境

日志发送端：ip 192.168.2.200

日志接收端：ip 192.168.2.100

（2）实验步骤

在日志接收端
vim /etc/rsyslog.conf

修改内容如下图所示：

执行以下命令
systemctl restart rsyslog.service 
firewall-cmd --permanent --add-port=514/udp        //打开514端口防火墙
firewall-cmd --reload
netstat -antlupe | grep rsyslog            //查看端口

运行结果如下图所示：

 执行以下命令
> /var/log/messages
cat /var/log/messages

运行结果如下：

 在日志发送端
vim /etc/rsyslog.conf

文件编辑内容如下图所示：

 

执行以下命令

systemctl restart rsyslog.service 
> /var/log/messages
cat /var/log/messages
logger test messages
cat /var/log/messages

运行结果如下图所示：

 

在日志接收端执行以下命令
cat /var/log/messages

运行结果如下：

 

发现两个日志的内容完全相同，证明日志同步成功

5.timedatectl命令

timedatectl                                     //查看时间

执行以下命令
timedatectl set-local-rtc 0              //设定系统时间计算方式（PDF）
timedatectl

运行结果如下：
 

 

执行以下命令
systemctl stop chronyd.service      //停止服务确保可以修改时间
timedatectl

运行结果如下：
 

 

执行以下命令
timedatectl set-time "2022-12-12 12:12:12"
timedatectl

运行结果如下：

 
timedatectl list-timezones            //列出时区

 

执行以下命令 
timedatectl set-timezone "Africa/Blantyre"
timedatectl

运行结果如下：

 6.同步时间

在时间共享主机
date

 

systemctl stop firewalld                  //关闭防火墙
vim /etc/chrony.conf

‌编辑内容如下图所示：

作用是允许任何主机同步时间，执行以下命令

systemctl restart chronyd.service            //打开服务

在时间同步接收主机
vim /etc/chrony.conf

编辑内容如下图所示

 

作用是接受ip地址为192.168.2.200主机的时间同步，执行以下命令

systemctl restart chronyd.service  
timedatectl

运行结果如下：

 发现时间与共享主机相同，时间同步成功