系统日志管理

1.rsyslog 此服务是用来采集系统日志的，他不产生日志，只是采集

2.rsyslog的管理
var/log/messages 管理信息日志
var/log/secure 系统登陆日志
var/log/cron 定时任务日志
var/log/maillog 邮件日志
var/log/boot.log 系统启动日志

指定日志采集路径

什么类型的日志.什么级别的日志 /var/log/file r日志采集规则

日志类型分为：
auth pam产生的日志
authpriv ssh,ftp等登陆信息的验证信息
cron 时间任务相关
kern 内核
lpr 打印
mail 邮件
mark(syslog)-rsyslog 服务内部的信息，时间标识
news 新闻组
user 用户程序产生的相关信息
uucp unix to unix copy ，unix主机之间的相关的通讯
local 1～7 自定义的日志设备

日志级别：
debug 有调试信息的，日志信息最多
info 一般信息的日志，最常用
notice 最具有重要性的普通条件的信息
warning 警告级别
err 错误级别，阻止某个功能或者模块不能正常工作的信息
crit 严重级别，阻止某个系统或者整个软件不能正常工作的信息
alert 需要立刻修改的信息
emerg 内核崩溃等严重信息
none 什么都不记录

#从上到下，级别从低到高，记录的信息越来越少
详细的可以查看手册：man 3 syslog

操作示例：

目的：把系统日志采集到/var/log/westos 文件中

操作：

vim /etc/rstslog.conf
*.*		/var/log/westos
systemctl restart rsyslog

测试：
systemctl restart sshd 命令目的为了生成日志
cat /var/log/westos 此文件出现日志信息

在日志发送方：

vim /etc/rsyslog.conf
*.*		@172.25.254.200		@表示udp发送，@@表示tcp发送

systemctl restart rsyslog

在日志接受方：

vim /etc/rsyslog.conf
15 $Modload imudp		日志接受模块(去掉注释）
16 $UDPServerRun 514		开启接受端口（去掉注释）

systemctl restart rsyslogsystemctl stop firewalld	关闭防火墙
systemctl disable firewalld	开机关闭防火墙

测试：

在接受方和发送方都清空日志

/var/log/messages

在日志的发送方

logger test

cat /var/log/messages

在日志的接受方

cat /var/log/messages

日志采集格式设定

vim /etc/rsyslog.conf
$template WESTOS, "%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n"
%timegenerated%		#显示日志时间
%FROMHOST-IP%		#显示主机ip
%syslogtag%			#日志记录目标
%msg%				#日志内容
\n					#换行

. /var/log/westos;WESTOS #在指定的日志中采用WESTOS规则
$ActionFileDefaultTemplate WESTOS #修改系统默认日志采集方式为WESTOS(不指定采集方式默认WSTOS)

cat /var/log/westos

时间同步服务

服务名称
chronyd

在服务端：

vim /etc/chrony.conf
22 allow 172.25.254.0/24	#允许那些客户端来同步本机时间
29 local stratum 10			#本机不同步任何主机的时间，本机作为时间源

systemctl restart chronyd
timedatectl set-timezone Asia/Shanghai	#更改当前时区为东8区

#测试：
#在客户端

chronyc sources -v

timedatectl 命令

timedatectl						#管理系统时间
timedatectl status				#显示当前时间信息（不加参数默认为此参数）
timedatectl set-time "2000-01-01 11:11:11"	#设定当前时间
timedatectl set-timezonre Asia/Shanghai		#设定当前时区
timedatectl set-local-rtc 0|1	#设定是否使用utc时间
timedatectl list-timezone		#查看所有可用时区

journalctl 命令

1.journalctl

journalctl			#日志查看工具
journalctl -n 3		#查看最近3条日志
journalctl -p err	#查看错误日志
journalctl -o verbose	#查看日志的详细参数（可查看指定参数的日志 如：_PID=1106 _COMM=sshd）
journalctl --since "2019-04-12 22：53：20"	#查看从指定时间开始的日志
journalctl --until "2019-04-12 22：53：20"	#查看到指定时间结束的日志

#2.如何使用systemd-journald保存系统日志
默认systemd-journald是不保存日志到硬盘的，所以关机后再次开机就只能查看本次开机后的日志，上次关机前的日志是无法查看的

mkdir /var/log/journal
chgrp sysemd-journal /var/log/journal
chmod g+s /var/log/journal
killall -1 systemd-journald		#进程重新载入配置

ls /var/log/journal

#出现一个以机器地址命名的文件，操作完成这一时刻之后的日志保存在文件中，重启后也可以查看