日志的管理
1. 日志的格式和级别
auth #用户登陆日志
authpriv #服务认证日志
kern #内核日志
cron #定时任务日志
lpr #打印机日志
mail #邮件日志
news #新闻
user #用户相关程序日志
local 1-7 #用户自定义日志
日志级别
debug #系统调试信息
info #常规信息
warning #警告信息
err #报错(级别低,阻止了某个功能不能正常工作)
crit #报错(级别高,阻止了整个软件或系统不能正常工作)
alert #需要立即修改的信息)
emerg #内核崩溃
none #不采集任何日志信息
系统常用日志
/ var/log/message #所有日志级别的常规信息(不包含邮件,服务认证,定时认证)
2. 用别的主机查看本机日志:
编辑文件/etc/rsyslog.conf 在空白行插入内容:*.* /var/log/westos 意思为将本机产生的日志保存到/var/log/westos文件中
重启rsyslog.service服务:
用设备node2连接到本机,就可以在/var/log/westos中查看到node1设备产生的日志。
该操作用来进行日志的分享
3. 远程发送日志:
同样是编辑文件/etc/var/rsyslog.conf ,在空白行插入*.* @172.25.254.245 意思为将本机的日志以UDP格式发送给ip为172.25.254.245这台主机
重启rsyslog.service服务:
在接收端编辑文件rsyslog.conf,在15,16行取消注释,用来开启日志的接收:
清空原有的日志并关闭防火墙,在日志发送方重启一项服务用来产生一个新的日志,在接收方查看/var/log/messages文件:
可以看到日志的内容:
4. 指定格式接收日志:
在日志的接收方编辑文件rsyslog.conf,插入下图红色代码行内容,意思为按照指定格式接收日志:
其中:
%timegenerated% #日志生成时间
%FORMHOST-TP% #日志来源主机的IP
%syslogtag% #日志内容
\n #换行
重启rsyslog.server,可以查看到日志以指定格式显示,即时间,来源主机ip,日志内容:
5. journal查看日志:
journalctl #日志查看工具,直接查看内存中的日志
journalctl -n 3 #最新三条日志
journalctl -p err #错误日志
journalctl -f #用户ctrl+c结束监控
journalctl --since --until #从某时到某时的日志
journalctl -o verbose #查看日志详细参数-PID=651 journalctl _PID=651
查看最新3条日志和查看错误日志:
查看指定时间内的日志:
6. 时间共享:
将node2主机的时间修改,用来同步node1主机的时间时查看效果:
在node1主机端,编辑文件/etc/chrony.conf,在第22行编辑内容allow 172.25.254.0/24,意思是允许ip以172.25.254开头的主机进行对本机的访问,在第29行取消注释,意思是命令级别为10:
重启chrony.service:
在node2端编辑/etc/chrony.conf,在第3行编辑sever 172.25.254.245 iburst:
在node1端关闭防火墙,用来允许node2端的访问,在node2端输入指令chronyc sources -v,可以看到时间同步成功:
7. 定时任务:
at now+1min
at>touch file
ctrl+d #1分钟以后执行建立文件的操作
at -c 编号 #查看即将进行的任务
at -l 编号 #取消即将执行的任务
黑名单 /etc/at.deny
白名单 /etc/at.allow
当空白白名单生效时,所有用户不得执行at操作
建立目录aaa并监控:
设置进程在一分钟后建立文件,命令将在05:05:00执行:
在05:05时文件被建立:
任务的查看,5分钟后建立文件file6:
任务的取消:at -l 2 (2为任务编号):
设置黑名单:建立文件at.deny:
在文件中编辑用户westos,意思为westos用户不得使用at操作:
切换到westos用户,执行at指令时被拒绝:
设置白名单at.allow,如果白名单内容为空,则意为所有用户不得执行at操作,切换到westos和linux用户时,请求都被拒绝
取消白名单:删除所建立的at.allow文件即可。