本文共 3922 字,大约阅读时间需要 13 分钟。
一.rsyslog
此服务是用来采集系统日志的,他不产生日志,只是起到采集作用
实验如下图:
1.查看rsyslog服务的状态
systemctl status rsyslog.service
> /var/log/messages 清空/var/log/messages cat /var/log/messages 查看/var/log/messages内容 systemctl restart sshd.service 重新开启sshd服务 systemctl stop rsyslog.service 停止rsyslog服务
注意:如果出现以下这种情况
> /etc/rc.d/rc.localreboot
然后再去查看
二.rsyslog的管理
(1)日志的说明
日志 | 具体的作用 |
---|---|
/var/log/file | 日志采集规则 |
/var/log/messages | 服务信息日志 |
/var/log/secure | 系统登陆日志 |
/var/log/cron | 定时任务日志 |
/var/log/maillog | 邮件日志 |
/var/log/boot.log | 系统启动日志 |
(2)指定日志采集路径
什么类型的日志.什么级别的日志
日志类型分为:
日志 | 类型 |
---|---|
auth pam | 产生的日志 |
authpriv | ssh,ftp等登录信息的验证信息 |
cron | 时间任务相关 |
kern | 内核 |
lpr | 打印 |
邮件 | |
mark(syslog)-rsyslog | 服务内部的信息,时间标识 |
news | 新闻组 |
user | 用户程序产生的相关信息 |
uucp | unix to unix copy,unix主机之间相关的通讯 |
local 1-7 | 自定义的日志设备 |
日志级别分为:
日志 | 级别 |
---|---|
debug | 有调试信息的,日志信息最多 |
info | 一般信息的日志,最常用 |
notice | 最具有重要性的普通条件的信息 |
warning | 警告级别 |
err | 错误级别,阻止某个功能或者模块不能正常工作的信息 |
crit | 严重级别,阻止整个系统或者整个软件不能正常工作的信息 |
alert | 需要立刻修改的信息 |
emerg | 内核崩溃等严重信息 |
none | 什么都不记录 |
实验如下:
查看重启sshd的服务时的信息出现在日志中
<1>首先进入/etc/rsyslog.conf文件配置中并使配置立即生效
vim /etc/rsyslog.conf
*.* /var/log/westos 所有的日志类型和日志级别都保存在/var/log/westos
<2>重启rsyslog服务
systemctl restart rsyslog ll /var/log/westos 查看这个目录信息
三.如何将客户主机的日志信息发送到服务主机中
客户端的操作
<1>在客户主机中进入日志配置
vim /etc/rsyslog.conf
<3>使rsyslog服务立即生效
systemctl restart rsyslog
<1>在服务主机中进入日志配置
vim /etc/rsyslog.conf
systemctl restart rsyslog
systemctl status firewalld 查看防火墙状态systemctl stop firewalld 关闭防火墙
测试:
为了保持一个纯净的查看日志信息的环境,我们在客户主机和服务主机做以下操作
利用logger在系统中写入日志,我们写入的内容是test
四.日志格式采集设定
格式如下:
%timegenerated% | 显示日志时间 |
---|---|
%FROMHOST-IP% | 显示日志来源ip |
%syslogtag% | 日志记录目标 |
%msg% | 日志内容 |
\n | 换行 |
实验如下:
在接受方(在那里采集就在那里设置)
<1>vim /etc/rsyslog.conf 去编辑日志配置文件
在48行:
$template WESTOS, "%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n"
*.* /var/log/westos,WESTOS 规定这个目录里采集的日志格式为WESTOS
<2>
systemctl restart rsyslog 重启日志服务
<3>测试
(可在测试前> /var/log/westos)
但此时还有一个问题,只有/var/log/westos里面的日志格式是我们所设定的, 默认的日志目录格式并没有改变
例如:
vim /etc/rsyslog.conf 去编辑日志配置文件
五.时间同步服务
服务名称 | chronyd | 在一台主机上可以得到另一台主机的时间 |
---|
前提如下:
我有两台虚拟机,分别为desktop和server,用timedatectl设定时间,是两台虚拟机时间不同。
实验如下:
<1>在服务端(作为时间源,别的虚拟机来同步自己)
vim /etc/chrony.conf 编辑时间同步配置文件
systemctl restart chronyd
<2>在客户端:
vim /etc/chrony.conf
systemctl restart chronyddate
chronyc sources -v 如果source state '*'=current synced 表示已连接
六.timedatectl 命令
命令 | 含义 |
---|---|
timedatectl | 管理系统时间 |
timedatectl status | 显示当前时间信息 |
timedatectl set-time | 设定当前时间 |
timedatectl set-timezone | 设定当前时区 |
timedatectl set-local-rtc 0/1 | 设定是否使用utc时间 |
timedatectl list-timezones | 查看支持的所有时区 |
如下所示
timedatectl 管理系统时间timedatectl status 显示当前时间信息
timedatectl set-time 设定当前时间
timedatectl set-timezone 设定当前时区
六.journalctl日志查看工具
命令 | 含义 |
---|---|
journalctl -n 3 | 查看最近3条日志 |
journalctl -p err | 查看错误日志 |
journalctl -o verbose | 查看日志的详细参数 |
journalctl --since | 查看从什么时间开始的日志 |
journalctl --until | 查看到什么时间为止的日志 |
如图所示
journalctl日志查看journalctl -n 3 查看最近3条日志
我们知道默认systemd-journald是不保存系统日志到硬盘的,所以关机后只能看到本次开机的日志,上次关机之前的日志是无法查看的。
如图所示:转载地址:http://ztjvb.baihongyu.com/