系统日志的管理
1.rsyslog
##此服务是用来采集系统日志的,他不产生日志,只是起到采集作用
2.rsyslog的管理
/var/log/messages #服务信息日志
/var/log/cesure #系统登陆日志
/var/log/cron #定时任务日志
/var/log/maillog #邮件日志
/var/log/boot.log #系统启动日志
3.日志的远程同步
在日志发送方:
vim /etc/rsyslog.conf
*.* @172.25.254.130 ##"@“表示udp协议发送,”@@“标示ftp协议发送
systemctl restart rsyslog.service
在日志接收方:
vim /etc/rsyslog.conf
#15 $ModLoad imudp #日志接受模块
#16 $UDPServerRun 514 #开启接收端
systemctl restart rsyslog.service
systemctl stop firewalld.service ##关闭火墙
systemctl disable firewalld ##设定火墙开机关闭
测试:
在发送方和接收方都清空日志文件
> /var/log/messages
在日志的发送方
logger 123(123内容可随意更改)
cat /var/log/messages ##查看日志已经生成
在日志接收方查看
cat /var/log/messages
4.日志采集格式的设定
vim /etc/rsyslog.conf
$template FOREVER, "%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n"
%timegenerated% ##显示日志时间
%FROMHOST-IP% ##显示主机ip
%syslogtag% ##日志记录目标
%msg% ##日志内容
\n ##换行
*.* /var/log/student;FOREVER
cat /var/log/tsudent
5.时间同步服务
服务名称 chronyd
在服务端:
vim /etc/chrony.conf
# 22 allow 172.25.254.0/24 ##允许那些客户端来同步本机时间
# 29 local stratum 10 ##本机不同步任何主机的时进,本纪作为时间源
systemctl restart chronyd
timedatectl set-timezone Asia/Shanghai ##更改当前时区为东8区(当然此时间可以更改)
在客户端:
vim /etc/chrony.conf
server 172.25.254.230 iburst ##本机立即同步230主机的时间
systemctl restart chronyd
timedatectl set-timezone Asia/Shanghai ##更改当前时区为东8区
测试(客户端)
chronyc sources -v (下图出现时说明同步成功)
5.timedatectl命令
timedatectl status ##显示当前时间信息
set-time ##设定当前时间
set-timezone ##设定当前时区
set-local-rtc 0|1 ##设定是否使用utc时间
list-timezone ##查看支持的所有时区
6.journal命令(日志查看工具)
1.
journalctl +
-n 3 ##查看最近3条日志
-p err ##查看错误日志
-o verbose ##查看日志的详细参数
--since ##查看从什么时间开始的日志
--until ##查看到什么时间为止的日志
2.如何使用systemed-journald保存系统日志
默认systemed-journald是不保存系统日志到硬盘的
那么关机后再次开机只能看到本次开机之后的日志
上一次关机之前的日志是无法查看的
方法:
mkdir /var/log/journal
chgrp systemd-journal /var/log/journal
chmod g+s /var/log/journal
killall -1 systemd-journaldls /var/log/journal
946cb0e817ea4adb916183df8c4fc817完事用journalcal查看之前的日志