系统日志管理

最新推荐文章于 2021-10-26 09:17:56 发布

su_use

最新推荐文章于 2021-10-26 09:17:56 发布

阅读量775

点赞数 1

CC 4.0 BY-SA版权

分类专栏： linux RHCSA 文章标签：日志系统

本文链接：https://blog.csdn.net/su_use/article/details/79963886

linux 同时被 2 个专栏收录

28 篇文章

订阅专栏

RHCSA

20 篇文章

订阅专栏

#################
#####系统日志#####
#################

linux系统日志
有个rsyslog和journal两个日志系统

rsyslog：

/etc/rsyslog.conf ##配置文件文件路径
##主要就是这个配置文件，包含了rsyslog的所有信息

打开/etc/rsyslog.conf 翻到RULES这里有好多定义好的规则

规则格式：日志类型.日志级别保存路径

eg:
cron.* /var/log/cron

##定时任务.所有保存在/var/log/cron文件中

管理员可以自己修改，删除，添加规则。

日志格式简介：

日志级别简介：

日志系统默认是打开的：可以看到/var/log/messages里面保存着以前的日志

自定义日日志采集格式

vim /etc/rsyslog.conf ##配置文件路径

$template name,“格式”

eg:

$template westos,"%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n"

格式定义后不要忘记在文件路径后面加格式名字:

*.info;mail.none;authpriv.none;cron.none                /var/log/messages;westos



%timegenerated%		#日志生成时间
%FORMHOST-IP%		#日志来源主机的IP
%syslogtag%		#日志生成程序
%msg%			#日志内容
\n			#换行

这是更改后的图：

2、日志远程同步

/etc/rsyslog.conf ##配置文件
在日志发送方（服务器端）
vim /etc/rsyslog.conf

*.*		@172.25.254.111	#日至接收

在日志接收方

vim /etc/rsyslog.conf

15 $Modload imudp            ##取消15，16行注释，打开UDP同步
16 $UDPServerRun 514

systemctl restart rsyslog ##重启服务

由于防火墙的缘故阻挡的来自服务器的日至消息，为了实验效果，我们关掉防火墙。

systemctl stop firewalld ##关闭防火墙
systemctl disable firewalld

journalctl ##日志查看工具，直接查看内存中的日志

journalctl -n 3	        ##显示最近的三条日志    
journalctl -p err        ##查看指定类型的日志
journalctl -f 	        #日志监控
journalctl --since  --until    ##查看时间段的日志。    
journalctl -o verbose     #查看日志详细参数  
journalctl _pid=651        ##查看指定pid的日志

对systemd_journald管理
默认此程序只负责对日志进行查看而不进行保存采集
关机后失去以前的日志
因为是保存在内存的关机后清空了那么开机后用journalctl看不到的

如何让systemd_journald保存日志文件到硬盘
1,在/var/log目录下新建jouurnal目录，
mkdir /var/log/journal
2,更改目录的组属性，
chgrp systemd-journal /var/log/journal
3，更改目录下新建文件的组属性，
chmod g+s /var/log/journal
4，杀掉进程，自动重起，会在journal目录下生成文件。
killall -1 systemd-journald
###重起后要确保journal文件夹下有生成的文件，这样就设置好了。
然会日志就会一直保存在journal目录中，

时间同步

1，在服务器端设置
vim /etc/chrony.conf ##打开chrony的配置文件。

29:	local stratum 10	##开启时间共享功能并设定共享级别 29行
				##这个参数开启后本纪不去同步别人的时间
21: allow 172.25.254.0/24	##允许那些客户段访问本纪共享时间
				##允许此网段的ip同步时间。

systemctl restart chronyd 重起服务，

2，客户端设置
vim /etc/chrony.conf ##打开chrony的配置文件。

server 172.25.254.100 iburst	##添加时间同步服务器

systemctl restart chronyd 重起服务，

chronyc sources -v 查看同步状态

[root@node2 ~]# chronyc sources -v
210 Number of sources = 1

  .-- Source mode  '^' = server, '=' = peer, '#' = local clock.
 / .- Source state '*' = current synced, '+' = combined , '-' = not combined,
| /   '?' = unreachable, 'x' = time may be in error, '~' = time too variable.
||                                                 .- xxxx [ yyyy ] +/- zzzz
||                                                /   xxxx = adjusted offset,
||         Log2(Polling interval) -.             |    yyyy = measured offset,
||                                  \            |    zzzz = estimated error.
||                                   |           |                         
MS Name/IP address         Stratum Poll Reach LastRx Last sample
===============================================================================
^* 172.25.254.111               10   6    37    43  +1009ns[ +275us] +/-  200us

##最后一行有 ^* 代表同步成功。