一、rsyslog的管理
ryslog 是一个快速处理收集系统日志的程序,提供了高性能、安全功能和模块化设计。rsyslog 是syslog 的升级版,它将多种来源输入输出转换结果到目的地,据官网介绍,现在可以处理100万条信息。
1. 服务信息日志:/var/log/messages
2. 系统登陆日志:/var/log/secure
3. 定时任务日志:/var/log/cron
4. 邮件日志:/var/log/maillog
5. 系统启动日志:/var/log/boot.log
注:查看/etc/rsyslog.conf,可以看到日志的配置信息
其中,日志采集规则为:日志类型. 日志级别 /var/log/file #将不同类型与级别的日志保存到不同的日志文件中
日志类型
auth | pam产生的日志 |
authpriv | ssh, ftp 等登录信息的验证信息 |
cron | 时间任务相关 |
kern | 内核 |
lpr | 打印 |
邮件 | |
mark(syslog)-rsyslog | 服务内部的信息,时间标识 |
news | 新闻组 |
user | 用户程序产生的相关信息 |
uucp | unix to unix copy, unix 主机之间相关的通讯 |
local 1-7 | 自定义的日志设备 |
日志级别
debug | 有调试信息的,日志信息量最多,因此默认不记录 |
info | 一般信息的日志,最常用 |
notice | 最具有重要性的普通条件的信息 |
warning | 警告级别 |
err | 错误级别,阻止某个功能或者模块不能正常工作的信息 |
crit | 严重级别,阻止整个系统或者整个软件不能正常工作的信息 |
alert | 需要立刻修改的信息 |
emerg | 内核崩溃等严重信息 |
none | 什么都不记录 |
注:从上到下,级别从低到高,记录的信息越来越少3.
3. 日志远程同步(将一方的日志记录到另一方的日志文件中)
a. 对于日志发送方,需要修改:/etc/rsyslog.conf
在其中添加, *.* @ip #此ip为接收方的ip地址,‘@’表示udp协议,‘@@’表示tcp协议
然后重启rsyslog服务,使修改生效
b. 对于日志接收方,需要将/etc/rsyslog.conf 中udp协议接受信息加入
其中,15行为日志接收模块,16行为开启接收端口
然后重启rsyslog服务,使修改生效
c. 同时要想让接收方成功接收到日志信息,还需要关闭接收方的防火墙
关闭防火墙
为了下次开机时,还可以接收日志,还需要设定防火墙开机不启动
d. 测试
在发送方和接收方都先清空日志文件
在日志发送方:
然后在日志接收方查看日志是否生成:
二、日志采集格式的设定
1. 编辑日志配置文件
vim /etc/rsyslog.conf
其中,%timegenerated% 为显示日志时间,%FROMHOST-IP% 为显示主机ip
%syslogtag% 为日志记录目标,%msg% 为日志内容
*.* 代表所有类型的所有日志都存放与 后面 /var/log/westos 文件内
cat /var/log/westos #查看日志信息
三、时间同步服务
服务名称:chronyd
1. 在服务端:
编辑服务配置文件:/etc/chrony.conf
其中,22行代表允许哪些客户端来同步本机时间(网络号/子网掩码)
29行代表本机不同步任何主机的时间,本机作为时间源
2. 在客户端:
编辑服务配置文件:/etc/chrony.conf
其中,第三行代表本机同步172.25.254.108主机的时间
然后重启服务
3. 测试
在客户端:
看到*,表示时间同步成功
四、管理系统时间
timedatectl ##管理系统时间,显示当前时间信息
命令后接不同的参数:
set-time ##设定当前时间
set-timezone ##设定当前时区
set-local-rtc ##设定是否使用utc 时间,格林尼治时间
list-timezones ##查看支持的所有时区
产看 /etc/adjtime 文件,该文件记录了时间参数修改后的结果
其中0 代表设置为utc时间,1 代表设置为local 时间
五、查看日志
1. journalctl ##日志查看工具
命令后接不同的参数:
-n 3 ##查看最近3条日志
-p err ##查看错误日志
-o verbose ##查看日志的详细参数
-f ##监控日志
--since ##查看从什么时间开始的日志
--until ##查看到什么时间为止的日志
2. 存放历史日志
创建目录:mkdir /var/log/journal
目录只对root 用户有写权限
更改目录所属组:chgrp systemd-journal /var/log/journal
通过vim /etc/group 查看journal 组的名称
对目录所属组增加强制位权限,使其目录内生成文件的所属组均和目录所属组一致
产看日志服务相关进程:ps aux | grep systemd-journal
重新加载服务配置:killall -1 systemd-journald
查看新生成的日志目录