系統的日誌管理

時間 2021-01-12

一、rsyslog

1.rsyslog 此服務是用來採集系統日誌的，不產生日誌，只是起到採集作用

2 .rsyslog的管理

/var/log/messages 採集服務信息日誌

/var/log/secure 採集系統登陸日誌

/var/log/cron 採集定時任務日誌

/var/log/maillog 採集郵件日誌

/var/log/boot.log 採集系統啓動日誌

3.日誌的遠程同步

1）在日誌發送方：步驟如下

vim /etc/rsyslog.conf

*.* @ip 其中"@"表示udp協議發送，「@@」表示tcp協議發送

systemctl restart rsyslog 進行重啓

2）在日誌的接收方接受步驟如下

vim /etc/rsyslog.conf

15 $ModLoad imudp 日誌接受模塊

16$UDPServerRun 514 開啓接受端口

systemctl restart rsyslog 重啓

systemctl stop firewalld 關閉火牆

systemctl disable firewalld 設定火牆開機關閉

3）測試：

注：在發送方和接受方都清空日誌文件（> /var/log/messages）

在日誌的發送方
logger test 生成日誌

cat /var/log/messages 查看日誌已經生成

在日誌接收方查看

cat /var/log/messages

二、日誌採集格式

$template LOGFMT,"%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n"

%timegenerated% 顯示日誌時間

%FROMHOST-IP% 顯示主機ip

%syslogtag% 日誌記錄目標

%msg% 日誌內容

\n 換行

*.* /var/log/westos;LOGFMT

三、時間同步服務

1.服務名稱

chronyd

2.在服務端：

vim /etc/chrony.conf

22 allow 172.25.254.0/24 表示允許那些客戶端來同步本機時間

29 local stratum 10 表示本機不同步任何主機的時間，本機作爲時間源

systemctl restart chronyd 重啓

timedatectl set-timezone Asia/Shanghai 更改當前時區爲東8區

3.在客戶端：

vim /etc/chrony.conf

server 172.25.254.190 iburst 表示本機立即同步190主機的時間

systemctl restart chronyd

timedatectl set-timezone Asia/Shanghai 更改當前時區爲東8區

4.測試：

[[email protected] ~]# chronyc souces -v

^* 172.25.0.11 10 6 377 41 +170us[ +201us] +/- 191us

四、timedatectl 命令

timedatectl 管理系統時間

timedatevtl status 顯示當前時間信息

set-time 設定當前時間

set-timezon 設定當前時區

set-local-rtc 0|1 設定是否使用utc時間

list-timezone 查看支持的所有時區

五、jouralctl 日誌查看工具

1.journalctl -n 3 查看最近3條日誌

journalctl -p err 查看錯誤日誌

journalctl -o verbose 查看日誌的詳細參數

journalctl --since 查看從什麼時間開始的日誌

--untill 查看到什麼時間爲止的日誌

2 如何使用 systemd-journald 保存系統日誌

默認systemd-journald是不保存系統日誌到硬盤的,那麼關機後再次開機只能看到本次開機之後的日誌, 上一次關機之前的日誌是無法查看的。

使用 systemd-journald 保存系統日誌的步驟如下：

mkdir /var/log/journal 創建 /var/log/journal

chgrp systemd-journal /var/log/journal 將 /var/log/journal 的所有組改爲 systemd-journal

chmod g+s /var/log/journal 制定強制位

killall -1 systemd-journald 重新加載配置