Linux下的日志管理轻松入门

实验环境

1. 查看日志服务状态

   

2. 查看软件安装文件列表（没有安装可以直接安装）
   

journalctl命令用法

- journalctl 
- 				-n 3				    ##显示日志最新3条
- 				--since “2020-11-2 9.50:00”         ##显示11.2号9.50之后的日志
- 				--until  "2020-11-2 9.50:00"	    ##显示到9.50号的日志
- 				-o                                  ##设置日志的显示方式
- 					 short                      ##经典模式显示日志
- 					 json			    ##js格式显示日志
- 				   	 verbose						##显示日志的全部字节
- 					 export							##适合传出和备份的二进制格式
- 				-p                                  ##显示制定级别的日志
- 					 0      emerg               ##系统的严重问题日志
- 					 1      alert		    ##系统中立即要更改的信息
- 					 2      crit		    ##严重级别会导致软件不能正常工作
- 					 3      err		    ##程序报错
- 					 4      warning  	    ##程序警告
- 					 5      notice    	    ##重要信息的普通日志
- 					 6      info		    ##普通信息
- 					 7      debug  		    ##程序排除错误信息
- 					 -F     PRIORITY	    ##查看可控日志级别
- 					 -u     sshd		    ##指定查看服务
- 					 --disk-usage               ##查看日志大小
- 					 --vacuum-size=1G           ##设定日志存放大小
- 					 --vacuum-time=1W	    ##日志在系统中最长存放时间
- 					 -f  							##监控日志

用journald服务永久存放日志

1. 系统中日志默认存放在/run/log/journal中，默认方式在系统重启之后日志会被清理。
   
   

2. 如果想要永久保存日志信息，可以做如下操作：

    -mkdir /var/log/journal
    -chgrp systemd-journal   /var/log/journal
    -chmod 2775 /var/log/journal
    -systemctl restart systemd-journal.service
    -当服务重启后，日志存放路径就会被定制到：/var/log/journal
   

rsyslog命令

服务名称：rsyslog.service
日志存放：

	/var/log/messages           ##系统服务日志，常规信息，服务报错
	/vat/log/secure 			##系统认证信息日志
	/var/log/maillog			##系统邮件日志信息
	/var/log/cron				##系统定时任务信息
	/var/log/boot.log 			##系统启动日志信息
	配置文件：/etc/rsyslog.conf

	-日志类型：
				auth         		##用户认证
				authpriv		##服务认证
				cron			##时间任务
				kern			##内核类型
				mail			##邮件
				news			##系统更新信息
				user			##用户
	-日志级别
				debug			##程序排除错误信息
				info			##程序常规运行信息
				notice			##重要信息的普通日志
				warning			##程序警告信息
				err			##程序报错信息
				crit			##严重级别会导致系统软件不能正常工作
				alert       		##系统中立即要更改的信息
				emerg			##系统的严重问题日志
				none			##不采集

实验1：自定义日志采集路径

实验2：如何更改日志采集格式

	定义日志采集格式
	示例：$template WESTOS, “%FROMHOST-IP% %TIMEGENERATED% %FROMHOT-IP% %syslogtag% %msg%\n”
	WESTOS                        ##格式名称
	%FROMHOST-IP%     	      ##日志来源主机
	%timegenerated%               ##日志生成时间
	%syslogtag%                   ##日志生成服务
	%msg%                         ##日志内容
	\n                            ##换行

实验3：日志的远程同步

现在处于桥接模式下，可以设置单网卡虚拟机和双网卡虚拟机处于同一网段进行试验。
我的单网卡ip 172.25.254.200 双网卡虚拟机ip 172.25.254.100

1. 设置单网卡虚拟机环境
   
   

2. 设置双网卡虚拟机环境

    - 双网卡虚拟机设定发送日志到单网卡虚拟机中
    - @              ##表示使用udp传输日志
    - @@             ##表示使用tcp传输日志
    - @172.25.254.100  将本机日志用udp方式传输到172.25.254.100主机
   

单网卡虚拟机的防火墙必须关闭，不然数据会被拦截

timedatectl

	- timedatectl set-time “2020-11-11  11:11:11”        ##设置系统时间
	- timedatectl list-timezones            	     ##系统时区
	- timedatectl set-timezone "Asia/Shanghai"           ##设置系统时区
	- timedatectl set-local-rtc 0|1                      ##设定系统时间计算方式
	- 										             ##0表示使用utc时间计算方式

时间同步服务chronyd.service

-服务名称：chronyd.service
-配置文件：/etc/chrony.conf

1. 单网卡
   

   
   

2. 双网卡
   
   

3. 配置成功 验证