系统日志管理

#################
#####系统日志#####
#################

linux系统日志
有个rsyslog和journal两个日志系统

rsyslog：

/etc/rsyslog.conf ##配置文件文件路径
##主要就是这个配置文件，包含了rsyslog的所有信息

打开/etc/rsyslog.conf 翻到RULES这里有好多定义好的规则

规则格式：日志类型.日志级别保存路径

eg:
cron.* /var/log/cron

##定时任务.所有保存在/var/log/cron文件中

管理员可以自己修改，删除，添加规则。

日志格式简介：

日志级别简介：

日志系统默认是打开的：可以看到/var/log/messages里面保存着以前的日志

自定义日日志采集格式

vim /etc/rsyslog.conf ##配置文件路径

$template name,“格式”

eg:

$template westos,"%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n"

格式定义后不要忘记在文件路径后面加格式名字:

*.info;mail.none;authpriv.none;cron.none                /var/log/messages;westos



%timegenerated%  #日志生成时间
%FORMHOST-IP%  #日志来源主机的IP
%syslogtag%  #日志生成程序
%msg%   #日志内容
\n   #换行

这是更改后的图：

2、日志远程同步

/etc/rsyslog.conf ##配置文件
在日志发送方（服务器端）
vim /etc/rsyslog.conf

*.*  @172.25.254.111 #日至接收

在日志接收方

vim /etc/rsyslog.conf

15 $Modload imudp            ##取消15，16行注释，打开UDP同步
16 $UDPServerRun 514

systemctl restart rsyslog ##重启服务

由于防火墙的缘故阻挡的来自服务器的日至消息，为了实验效果，我们关掉防火墙。

systemctl stop firewalld ##关闭防火墙
systemctl disable firewalld

journalctl ##日志查看工具，直接查看内存中的日志

journalctl -n 3         ##显示最近的三条日志    
journalctl -p err        ##查看指定类型的日志
journalctl -f          #日志监控
journalctl --since  --until    ##查看时间段的日志。    
journalctl -o verbose     #查看日志详细参数  
journalctl _pid=651        ##查看指定pid的日志

对systemd_journald管理
默认此程序只负责对日志进行查看而不进行保存采集
关机后失去以前的日志
因为是保存在内存的关机后清空了那么开机后用journalctl看不到的

如何让systemd_journald保存日志文件到硬盘
1,在/var/log目录下新建jouurnal目录，
mkdir /var/log/journal
2,更改目录的组属性，
chgrp systemd-journal /var/log/journal
3，更改目录下新建文件的组属性，
chmod g+s /var/log/journal
4，杀掉进程，自动重起，会在journal目录下生成文件。
killall -1 systemd-journald
###重起后要确保journal文件夹下有生成的文件，这样就设置好了。
然会日志就会一直保存在journal目录中，

时间同步

1，在服务器端设置
vim /etc/chrony.conf ##打开chrony的配置文件。

29: local stratum 10 ##开启时间共享功能并设定共享级别 29行
    ##这个参数开启后本纪不去同步别人的时间
21: allow 172.25.254.0/24 ##允许那些客户段访问本纪共享时间
    ##允许此网段的ip同步时间。

systemctl restart chronyd 重起服务，

2，客户端设置
vim /etc/chrony.conf ##打开chrony的配置文件。

server 172.25.254.100 iburst ##添加时间同步服务器

systemctl restart chronyd 重起服务，

chronyc sources -v 查看同步状态

[root@node2 ~]# chronyc sources -v
210 Number of sources = 1

  .-- Source mode  '^' = server, '=' = peer, '#' = local clock.
 / .- Source state '*' = current synced, '+' = combined , '-' = not combined,
| /   '?' = unreachable, 'x' = time may be in error, '~' = time too variable.
||                                                 .- xxxx [ yyyy ] +/- zzzz
||                                                /   xxxx = adjusted offset,
||         Log2(Polling interval) -.             |    yyyy = measured offset,
||                                  \            |    zzzz = estimated error.
||                                   |           |                         
MS Name/IP address         Stratum Poll Reach LastRx Last sample
===============================================================================
^* 172.25.254.111               10   6    37    43  +1009ns[ +275us] +/-  200us

##最后一行有 ^* 代表同步成功。

系统日志管理

################# #####系统日志##### #################

journalctl ##日志查看工具，直接查看内存中的日志

浏览过的版块

#################
#####系统日志#####
#################