linux系统管理日志
系统日志管理
1.rsyslog 此服务是用来采集系统日志的,他不产生日志,只是采集
2.rsyslog的管理
var/log/messages 管理信息日志
var/log/secure 系统登陆日志
var/log/cron 定时任务日志
var/log/maillog 邮件日志
var/log/boot.log 系统启动日志
指定日志采集路径
什么类型的日志.什么级别的日志 /var/log/file r日志采集规则
日志类型分为:
auth pam产生的日志
authpriv ssh,ftp等登陆信息的验证信息
cron 时间任务相关
kern 内核
lpr 打印
mail 邮件
mark(syslog)-rsyslog 服务内部的信息,时间标识
news 新闻组
user 用户程序产生的相关信息
uucp unix to unix copy ,unix主机之间的相关的通讯
local 1~7 自定义的日志设备
日志级别:
debug 有调试信息的,日志信息最多
info 一般信息的日志,最常用
notice 最具有重要性的普通条件的信息
warning 警告级别
err 错误级别,阻止某个功能或者模块不能正常工作的信息
crit 严重级别,阻止某个系统或者整个软件不能正常工作的信息
alert 需要立刻修改的信息
emerg 内核崩溃等严重信息
none 什么都不记录
#从上到下,级别从低到高,记录的信息越来越少
详细的可以查看手册:man 3 syslog
操作示例:
目的:把系统日志采集到/var/log/westos 文件中
操作:
vim /etc/rstslog.conf *.* /var/log/westos systemctl restart rsyslog
测试:
systemctl restart sshd 命令目的为了生成日志
cat /var/log/westos 此文件出现日志信息
在日志发送方:
vim /etc/rsyslog.conf *.* @172.25.254.200 @表示udp发送,@@表示tcp发送
systemctl restart rsyslog
在日志接受方:
vim /etc/rsyslog.conf 15 $Modload imudp 日志接受模块(去掉注释) 16 $UDPServerRun 514 开启接受端口(去掉注释)
systemctl restart rsyslogsystemctl stop firewalld 关闭防火墙 systemctl disable firewalld 开机关闭防火墙
测试:
在接受方和发送方都清空日志
/var/log/messages
在日志的发送方
logger test cat /var/log/messages
在日志的接受方
cat /var/log/messages
日志采集格式设定
vim /etc/rsyslog.conf $template WESTOS, "%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n" %timegenerated% #显示日志时间 %FROMHOST-IP% #显示主机ip %syslogtag% #日志记录目标 %msg% #日志内容 \n #换行
. /var/log/westos;WESTOS #在指定的日志中采用WESTOS规则
$ActionFileDefaultTemplate WESTOS #修改系统默认日志采集方式为WESTOS(不指定采集方式默认WSTOS)
cat /var/log/westos
时间同步服务
服务名称
chronyd
在服务端:
vim /etc/chrony.conf 22 allow 172.25.254.0/24 #允许那些客户端来同步本机时间 29 local stratum 10 #本机不同步任何主机的时间,本机作为时间源
systemctl restart chronyd timedatectl set-timezone Asia/Shanghai #更改当前时区为东8区
#测试:
#在客户端
chronyc sources -v
timedatectl 命令
timedatectl #管理系统时间 timedatectl status #显示当前时间信息(不加参数默认为此参数) timedatectl set-time "2000-01-01 11:11:11" #设定当前时间 timedatectl set-timezonre Asia/Shanghai #设定当前时区 timedatectl set-local-rtc 0|1 #设定是否使用utc时间 timedatectl list-timezone #查看所有可用时区
journalctl 命令
1.journalctl
journalctl #日志查看工具 journalctl -n 3 #查看最近3条日志 journalctl -p err #查看错误日志 journalctl -o verbose #查看日志的详细参数(可查看指定参数的日志 如:_PID=1106 _COMM=sshd) journalctl --since "2019-04-12 22:53:20" #查看从指定时间开始的日志 journalctl --until "2019-04-12 22:53:20" #查看到指定时间结束的日志
#2.如何使用systemd-journald保存系统日志
默认systemd-journald是不保存日志到硬盘的,所以关机后再次开机就只能查看本次开机后的日志,上次关机前的日志是无法查看的
mkdir /var/log/journal chgrp sysemd-journal /var/log/journal chmod g+s /var/log/journal killall -1 systemd-journald #进程重新载入配置 ls /var/log/journal
#出现一个以机器地址命名的文件,操作完成这一时刻之后的日志保存在文件中,重启后也可以查看
- Linux系统日志管理文章内容
- Linux系统日志管理
- Linux系统日志管理、同步、采集、分析
- Linux系统日志管理
- Logsurfer--Linux系统日志的管理利器
- Linux全攻略--系统性能、进程监控和日志管理
- Linux的系统日志管理
- Linux系统日志管理、同步、采集、分析
- linux 日志管理、系统启动和备份恢复
- 企业中的linux系统日志管理
- 170228、Linux操作系统安装ELK stack日志管理系统--(1)Logstash和Filebeat的安装与使用
- 在Linux系统中使用logrotate来管理日志文件的方法
- linux系统日志管理工具logrotate之原理详述
- Linux之系统日志管理
- Linux系统日志管理:(3)系统和服务日志
- linux 系统日志管理
- LINUX(redhat 7.0)管理系统日志
- 管理Linux系统日志文件工具:logrotate简介
- Linux系统日志管理
- Linux系统日志管理