日志管理

Linux中的日志管理

日志在排查文件的时候至关重要，在Linux上一般跟系统相关的日志默认都会放到/var/log下面。
1.rsyslogd 服务
服务功能
这个服务是用来管理系统日志的进程
服务配置文件
/etc/rsyslog.conf
服务配置
vim /etc/rsyslog.conf

2.日志采集格式的设定
在shell中输入vim /etc/rsyslog.conf，并修改文件在RULES下加入
$template WESTOS, “%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n”


%timegenerated% ##显示日志时间
%FROMHOST-IP% ##显示主机ip
%syslogtag% ##日志记录目标
%msg% ##日志内容
\n ##换行

3.日志同步服务
在日志接收方
vim /etc/rsyslog.conf
修改15行删除# $ModLoad imudp ###加载日志接收功能模块
修改16行删除# $UDPServerRun 514 ###加载日志接收接口

在日志发送方
vim /etc/rsyslog.conf
添加*. * @日志接收方ip

做完配置重启rsyslogd服务
关闭火墙
systemctl stop firewalld

测试：

4.时间同步服务
服务名称
chroyd
##在服务端
vim /etc/chrony.conf
#修改文件22行为server 172.25.254.0/24 ##允许这些客户端来同步本机时间

修改第29行将前面#去掉 ##本机不同步任何主机的时间进程，本机作为时间源
在客户端
vim /etc/chrony.conf
修改文件中其他server开头为注释并添加server 172.25.254.126 iburst ##本机立即同步126主机的时间
systemctl restart chronyd.service

测试：

timedatectl指令
timedatectl list-timezones ##列出时区
timedatectl set-timezone 时区 ##设定时区
timedatectl set-time HH：mm：ss ##设定系统时间类似HH的意思为小时这个量占两位

journal指令
journalctl ##日志查看工具
-n 3 ##查看最近3条日志
-p err ##查看错误日志
-o verbose ##查看日志详细参数
- -since ##查看日志开始时间
- -until ##查看日志截止时间