系統日誌的管理
1.rsyslog
##此服務是用來採集系統日誌的,他不產生日誌,只是起到採集作用
2.rsyslog的管理
/var/log/messages #服務信息日誌
/var/log/cesure #系統登陸日誌
/var/log/cron #定時任務日誌
/var/log/maillog #郵件日誌
/var/log/boot.log #系統啓動日誌
3.日誌的遠程同步
在日誌發送方:
vim /etc/rsyslog.conf
*.* @172.25.254.130 ##"@「表示udp協議發送,」@@「標示ftp協議發送
systemctl restart rsyslog.service
在日誌接收方:
vim /etc/rsyslog.conf
#15 $ModLoad imudp #日誌接受模塊
#16 $UDPServerRun 514 #開啓接收端
systemctl restart rsyslog.service
systemctl stop firewalld.service ##關閉火牆
systemctl disable firewalld ##設定火牆開機關閉
測試:
在發送方和接收方都清空日誌文件
> /var/log/messages
在日誌的發送方
logger 123(123內容可隨意更改)
cat /var/log/messages ##查看日誌已經生成
在日誌接收方查看
cat /var/log/messages
4.日誌採集格式的設定
vim /etc/rsyslog.conf
$template FOREVER, "%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n"
%timegenerated% ##顯示日誌時間
%FROMHOST-IP% ##顯示主機ip
%syslogtag% ##日誌記錄目標
%msg% ##日誌內容
\n ##換行
*.* /var/log/student;FOREVER
cat /var/log/tsudent
5.時間同步服務
服務名稱 chronyd
在服務端:
vim /etc/chrony.conf
# 22 allow 172.25.254.0/24 ##允許那些客戶端來同步本機時間
# 29 local stratum 10 ##本機不同步任何主機的時進,本紀作爲時間源
systemctl restart chronyd
timedatectl set-timezone Asia/Shanghai ##更改當前時區爲東8區(當然此時間可以更改)
在客戶端:
vim /etc/chrony.conf
server 172.25.254.230 iburst ##本機立即同步230主機的時間
systemctl restart chronyd
timedatectl set-timezone Asia/Shanghai ##更改當前時區爲東8區
測試(客戶端)
chronyc sources -v (下圖出現時說明同步成功)
5.timedatectl命令
timedatectl status ##顯示當前時間信息
set-time ##設定當前時間
set-timezone ##設定當前時區
set-local-rtc 0|1 ##設定是否使用utc時間
list-timezone ##查看支持的所有時區
6.journal命令(日誌查看工具)
1.
journalctl +
-n 3 ##查看最近3條日誌
-p err ##查看錯誤日誌
-o verbose ##查看日誌的詳細參數
--since ##查看從什麼時間開始的日誌
--until ##查看到什麼時間爲止的日誌
2.如何使用systemed-journald保存系統日誌
默認systemed-journald是不保存系統日誌到硬盤的
那麼關機後再次開機只能看到本次開機之後的日誌
上一次關機之前的日誌是無法查看的
方法:
mkdir /var/log/journal
chgrp systemd-journal /var/log/journal
chmod g+s /var/log/journal
killall -1 systemd-journaldls /var/log/journal
946cb0e817ea4adb916183df8c4fc817完事用journalcal查看之前的日誌