日志格式设定

%timegenerated%                显示日志时间

%FROMHOST-IP%   显示主机ip

%syslogtag%日志记录目标

%msg%日志内容

\n换行

测试

1.vim  /etc/rsyslog.conf

$template  LOGFMT,  "%timegenerated%  %FROMHOST-IP%  %syslogtag%  %msg%\n"   ##设置一个LOGFMT的日志采集格式

将采集到的LOGFMT格式日志保存到/var/log/westos

2.  systemctl  restart  rsyslog               ##重启服务

3.  cat  /var/log/westos

测试结果显示采集到的日志为LOGFMT格式

修改默认的日志采集格式

1.vim  /etc/rsyslog.conf

2.$ActionFileDefaultTemplate  LOGFMT     ##修改默认的日志采集格式为LOGFMT格式

3.  systemctl  restart  rsyslog               ##重启服务

4.tail  -n  10  /var/log/messages

测试结果显示采集到的日志为LOGFMT格式

journalctl 

journalctl                                          ##日志查看工具
journalctl -n 3                                  ##查看最近的三条日志
journalctl -p err                               ##查看错误日志
journalctl -o verbose                      ##查看日志的详细参数，可以显示PID
journalctl --since                             ##查看从什么时候开始的日志
journalctl --until                               ##查看到什么时候为止的日志
journalctl --since --until                  ##查看两个时间段之间的日志
 

测试

journalctl

journalctl -n 3              ##查看最近的三条日志

journalctl -p err     ##查看错误日志

journalctl -o verbose     ##查看日志的详细参数，可以显示PID

journalctl --since     ##查看从什么时候开始的日志

journalctl --since --until     ##查看两个时间段之间的日志

使用systemd-journal保存系统日志

默认情况下systemd-journal是不保存系统日志到硬盘里的，所以当系统关机后再次开机只能看到本次开机后产生的日志，上次关机之前的日志是无法查看的，因此我们可以考虑将日志保存在硬盘中

1.建立一个日志保存目录，更改组权限，目的是让产生的所有进程都属于这个组

2.killall  -1   /usr/lib/systemd/systemd-journald的目的是在不关闭进程的情况下重新加载该配置

2.重新启动后看文件的日志是否得到保存