本文共 3922 字,大约阅读时间需要 13 分钟。
一.rsyslog
此服务是用来采集系统日志的,他不产生日志,只是起到采集作用
实验如下图:
1.查看rsyslog服务的状态
systemctl status rsyslog.service
> /var/log/messages 清空/var/log/messages cat /var/log/messages 查看/var/log/messages内容 systemctl restart sshd.service 重新开启sshd服务 systemctl stop rsyslog.service 停止rsyslog服务
总结:说明此服务是用来采集系统日志信息的,当关闭采集服务时,日志内将不会接受任何消息,只有开启采集服务时,才会接受消息。 注意:如果出现以下这种情况
解决方法为: > /etc/rc.d/rc.localreboot
然后再去查看
二.rsyslog的管理
(1)日志的说明
| 日志 | 具体的作用 |
|---|---|
| /var/log/file | 日志采集规则 |
| /var/log/messages | 服务信息日志 |
| /var/log/secure | 系统登陆日志 |
| /var/log/cron | 定时任务日志 |
| /var/log/maillog | 邮件日志 |
| /var/log/boot.log | 系统启动日志 |
(2)指定日志采集路径
什么类型的日志.什么级别的日志
日志类型分为:
| 日志 | 类型 |
|---|---|
| auth pam | 产生的日志 |
| authpriv | ssh,ftp等登录信息的验证信息 |
| cron | 时间任务相关 |
| kern | 内核 |
| lpr | 打印 |
| 邮件 | |
| mark(syslog)-rsyslog | 服务内部的信息,时间标识 |
| news | 新闻组 |
| user | 用户程序产生的相关信息 |
| uucp | unix to unix copy,unix主机之间相关的通讯 |
| local 1-7 | 自定义的日志设备 |
日志级别分为:
| 日志 | 级别 |
|---|---|
| debug | 有调试信息的,日志信息最多 |
| info | 一般信息的日志,最常用 |
| notice | 最具有重要性的普通条件的信息 |
| warning | 警告级别 |
| err | 错误级别,阻止某个功能或者模块不能正常工作的信息 |
| crit | 严重级别,阻止整个系统或者整个软件不能正常工作的信息 |
| alert | 需要立刻修改的信息 |
| emerg | 内核崩溃等严重信息 |
| none | 什么都不记录 |
实验如下:
查看重启sshd的服务时的信息出现在日志中
<1>首先进入/etc/rsyslog.conf文件配置中并使配置立即生效
vim /etc/rsyslog.conf
*.* /var/log/westos 所有的日志类型和日志级别都保存在/var/log/westos
<2>重启rsyslog服务
systemctl restart rsyslog ll /var/log/westos 查看这个目录信息
三.如何将客户主机的日志信息发送到服务主机中
客户端的操作
<1>在客户主机中进入日志配置
vim /etc/rsyslog.conf
<3>使rsyslog服务立即生效
systemctl restart rsyslog
<1>在服务主机中进入日志配置
vim /etc/rsyslog.conf
使rsyslog服务立即生效 systemctl restart rsyslog
systemctl status firewalld 查看防火墙状态systemctl stop firewalld 关闭防火墙
测试:
为了保持一个纯净的查看日志信息的环境,我们在客户主机和服务主机做以下操作
利用logger在系统中写入日志,我们写入的内容是test
总结:说明我们实现了客户主机的日志信息发送到服务主机中。 四.日志格式采集设定
格式如下:
| %timegenerated% | 显示日志时间 |
|---|---|
| %FROMHOST-IP% | 显示日志来源ip |
| %syslogtag% | 日志记录目标 |
| %msg% | 日志内容 |
| \n | 换行 |
实验如下:
在接受方(在那里采集就在那里设置)
<1>vim /etc/rsyslog.conf 去编辑日志配置文件
在48行:
$template WESTOS, "%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n"
*.* /var/log/westos,WESTOS 规定这个目录里采集的日志格式为WESTOS
<2>
systemctl restart rsyslog 重启日志服务
<3>测试
(可在测试前> /var/log/westos)
远程同步日志: 
此时你会发现,采集的出来的日志格式是我们上面所设置的格式 但此时还有一个问题,只有/var/log/westos里面的日志格式是我们所设定的, 默认的日志目录格式并没有改变
例如:
vim /etc/rsyslog.conf 去编辑日志配置文件
我们将其改成以下内容: 
再去重启日志服务 
测试: 
远程同步的日志如下 
五.时间同步服务
| 服务名称 | chronyd | 在一台主机上可以得到另一台主机的时间 |
|---|
前提如下:
我有两台虚拟机,分别为desktop和server,用timedatectl设定时间,是两台虚拟机时间不同。
此时我们需要去共享时间,同步时间。 实验如下:
<1>在服务端(作为时间源,别的虚拟机来同步自己)
vim /etc/chrony.conf 编辑时间同步配置文件
在第31行设置本机不同步任何时间,自己为时间源 local stratum 10 
systemctl restart chronyd
<2>在客户端:
vim /etc/chrony.conf
我们需要将其改成 server 172.25.254.215 iburst(选择自己要同步的主机ip,iburst是立即更改) 
重启服务并用date测试 systemctl restart chronyddate
chronyc sources -v 如果source state '*'=current synced 表示已连接
六.timedatectl 命令
| 命令 | 含义 |
|---|---|
| timedatectl | 管理系统时间 |
| timedatectl status | 显示当前时间信息 |
| timedatectl set-time | 设定当前时间 |
| timedatectl set-timezone | 设定当前时区 |
| timedatectl set-local-rtc 0/1 | 设定是否使用utc时间 |
| timedatectl list-timezones | 查看支持的所有时区 |
如下所示
timedatectl 管理系统时间
timedatectl status 显示当前时间信息
timedatectl set-time 设定当前时间
timedatectl list-timezones 查看支持的所有时区 
timedatectl set-timezone 设定当前时区
timedatectl set-local-rtc 0/1 设定是否使用utc时间 可以用/etc/adjtime查看 
六.journalctl日志查看工具
| 命令 | 含义 |
|---|---|
| journalctl -n 3 | 查看最近3条日志 |
| journalctl -p err | 查看错误日志 |
| journalctl -o verbose | 查看日志的详细参数 |
| journalctl --since | 查看从什么时间开始的日志 |
| journalctl --until | 查看到什么时间为止的日志 |
如图所示
journalctl日志查看
journalctl -n 3 查看最近3条日志
journalctl -p err 查看错误日志 
journalctl -o verbose 查看日志的详细参数 
journalctl --since 查看从什么时间开始的日志 
journalctl --until 查看到什么时间为止的日志 
journalctl --since 查看从什么时间开始的日志 --until 查看到什么时间为止的日志 
我们知道默认systemd-journald是不保存系统日志到硬盘的,所以关机后只能看到本次开机的日志,上次关机之前的日志是无法查看的。
如图所示:
,但是我们想要看关机之前的日志内容,使用systemd-journald是保存系统日志到硬盘的,实验如下: 
转载地址:http://ztjvb.baihongyu.com/