1、 *.* 文件名称
日志类型.日志级别 日志存放文件
日志类型
auth #用户登陆日志(pam产生日志)
authpriv #服务认证日志(sshd认证)
kern #内核日志
cron #定时任务日志
lpr #打印机日志
mail #邮件日志
news #新闻
user #用户相关程序日志
local 1-7 #用户自定义日志
日志级别
debug #系统调试信息
info #常规信息
warning #警告信息
err #报错(级别低,阻止了某个功能不能正常工作)
crit #报错(级别高,阻止了整个软件或整个系统不能正常工作)
alert #需要立即修改的信息
emerg #内核崩溃
none #不采集任何日志信息
auth.debug /var/log/westos
auth.*
*.* /var/log/log.all
清空日志: > /var/log/messages
如果上个命令无法清空日志,则再输入这个: > /etc/rc.d/rc.local
系统常用日志
/var/log/messages #所有日志级别的常规信息(不包含邮件,服务认证,>定时任务)
/var/log/maillog #邮件日志
/var/log/secure #服务认证日志
/var/log/cron #定时任务日志
例:清空日志,查看日志:
2、日志远程同步
在日志发送方
vim /etc/rsyslog.conf
*.* @172.25.254.161 #日志接收方地址
在日志接收方
vim /etc/rsyslog.conf
15 $ModLoad imudp
16 $UDPServerRun 514
systemctl restart rsyslog
systemctl stop firewalld
systemctl disable firewalld
例:node1为日志接收方,node2为日志发送方
在node1 编辑 vim /etc/rsyslog.conf , 将15、16行的#去掉
编辑完后保存,重启服务,关掉防火墙,并设置防火墙下次开机恢复:
node2中同样编辑 vim /etc/rsyslog.conf ,设置将一切日志传至 node1:
编辑完后重启服务:
在node1中查看日志可以看到node2的日志:
3、vim /etc/rsyslog.conf
$template 格式名称,"日志采集格式"
*.info;mail.none;authpriv.none;cron.none /var/log/message;格式名称
例:$template westos,"%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n"
%timegenerated% #日志生成时间
%FROMHOST-IP% #日志来源主机的IP
%syslogtag% #日志生成程序
%msg% #日志内容
\n #换行
*.info;mail.none;authpriv.none;cron.none /var/log/messages;westos
查看:less /var/log/messages q退出
例:编辑vim /etc/rsyslog.conf :
重启服务并查看日志:
4、journalctl
journalctl -n 3 #最新的3行日志
journalctl -p err #错误信息
journalctl -f #日志监控
journalctl --since --until #具体到时间的日志
journalctl -o verbose #查看日志详细参数 _PID=651 journalctl _PID=651
对systemd-journald管理
默认此程序只负责对日志进行查看而不对日志进行保存和采集
那么关机后在开机,对日志进行查看,只能查看到开机后的日志,系统之前的日志因为是保存在内存中的,所以关机后就被清空了,那么在开机后是用journalctl看不到的
如何让systemd-journald保存日志到硬盘中
mkdir /var/log/journal
chgrp systemd-journal /var/log/journal
chmod g+s /var/log/journal
killall -1 systemd-journald
journalctl -n 3
date
reboot
journalctl
例:
查看日志:
日志监控:
查看ID:
查看日志详细参数并寻找ID:
5、时间同步
在服务器端共享时间
vim /etc/chrony.conf
29 local stratum 10 #开启时间共享功能并设定共享级别
#这个参数开启后本机不去同步别人的时间到本机
22 allow 172.25.254.0/24 #允许那些客户端来访问本机共享的时间
systemctl restart chronyd
在客户端:
vim /etc/chrony.conf
server 172.25.254.161 iburst
systemctl restart chronyd
chronyc sources -v
注:*则代表同步成功
服务端防火墙要关闭
客户端可关可不关
例:vim /etc/chrony.conf:
重启服务:
vim /etc/chrony.conf:
重启服务并查看: