Linux学习第十单元

系统日志

一、系统日志默认分类

  /var/log/messages     ##系统服务及日志，包括服务的信息，报错等等

  /var/log/secure           ##系统认证信息日志

  /var/log/maillog      ##系统邮件服务信息

  /var/log/cron                 ##系统定时任务信息

  /var/log/boot.log      ##系统启动信息一、rsyslog 日志采集

1.rsyslog:负责采集日志和分类存放日志

  systemctlstart rsyslog.service   ##开启采集日志服务

 systemctl stop rsyslog.service  ##关闭采集日志服务，将不采集日志，再开启时将会立即采集为采集的日志

2.两台虚拟机，先ping

  在接受日志的主机端：

  vim/etc/rsysctl.conf   ##开启日志接受端

  进入后去掉15，16行的注释，即使UDP生效。UDP协议较快。  ##若注释了TCP，则在接受端编辑ip地址时格式为：@@ip

 systemctl stop firewalld   ##关掉防火墙

  systemctlrestart rsyslog.service  ##重启日志采集服务

 > /var/log/messages  ##清空收集

 tail -f /var/log/message  ##监控采集过程

  在发送日志的主机端：

  vim/etc/rsyslog.conf   ##开启发送日志服务

  编辑： *.*     @172.25.254.109（接受端的ip地址）

 systemctl restart rsyslog.service ##重启服务

 > /var/log/messages   ##清空采集

 logger text或其他指令  ##生成日志

3.日志采集格式的设定

  vim/etc/rsyslog.conf

  #RULES#之后编辑:

   $templateWESTOS, "%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n”

其中 %timegenerated%               ##显示日志时间

     %FROMHOST-IP%                  ##显示主机ip

     %syslogtag%                     ##日志记录目标

     %msg%                      ##日志内容

     \n                        ##换行

  在54行编辑/var/log/message;WESTOS  ##以WESTOS定义的格式进行日志采集

  关防火墙-->重启-->清空-->监控

4.日志时间同步，主配置文件在/etc/chrony.conf

  (1)在接受收端：  vim /etc/chrony.conf

         编辑allow ip地址   ##允许某段ip同步自身的时间 

            local stratum 10  ##不去同步其它时间

         退出保存，systemctlrestart chronyd.service

  (2)在客户端：vim /etc/chrony.conf

           先删除原文件内容的前四行

           编辑 server 接受端ip地址 ibrust   ##去同步接受端时间

            systemctl restart chronyd.service

     注：要求/etc/hosts中必须有地址解析命令：127.0.0.1  localhost

     在客户端查看：chronyc sources -v

     显示结果有: ^ * 接受端ip地址  ##已从接受端同步了时间

 

二、

1.格式

日志设备(类型).(连接符号)日志级别   日志处理方式(action)

2.日志设备(可以理解为日志类型)

  auth                    ##pam产生的日志

  authpriv                 ##ssh,ftp等登录信息的验证信息

  cron                   ##时间任务相关

  kern                   ##内核

  lpr                    ##打印

  mail                   ##邮件

  mark(syslog)–rsyslog       ##服务内部的信息,时间标识

  news                   ##新闻组

  user                    ##用户程序产生的相关信息

  uucp                   ##unix to unix copy, unix主机之间相关的通讯

  local1~7                ##自定义的日志设备

3.日志级别

  debug                  ##有调式信息的，日志信息最多

  info                    ##般信息的日志，最常用

  notice                   ##最具有重要性的普通条件的信息

  warning                ##警告级别

  err                     ##错误级别，阻止某个功能或者模块不能正常工作的信息

  crit                     ##严重级别，阻止整个系统或者整个软件不能正常工作的信息

  alert                    ##需要立刻修改的信息

  emerg                  ##内核崩溃等严重信息

  none                   ##什么都不记录

注意：从上到下，级别从低到高，记录的信息越来越少。详细的可以查看手册: man 3 syslog

二、journal 日志采集

journal日志采集与rsyslog完全不同。journal是从程序中抓取日志，rsylog是从文件中采集日志

1.journalctl   ##查看所有生成日志，可以搜索日志

 journalctl -n 数字  ##查看最新生成的几条日志

 journalctl -p err  ##查看报错的日志

 journalctl -f        ##监控日志

--since --until   ## --since "[YYYY-MM-DD] [hh:mm:ss]" 从什么时间到什么时间的日志 -o verbose       ##显示日志能够使用的详细进程参数                 ##_SYSTEMD_UNIT=sshd.service服务名称

                ##_PID=1182进程pid

 clock -w  ##系统时间同步到硬件

 clock -s  ##硬件时间同步到系统

  在服务器连接客户端，再输入命令journalctl -f 监控客户端日志的生成。

 journalctl --since 时间段  ##从该时间开始的日志

3. timedatectl     status               ##显示当前时间信息

                        set-time            ##设定当前时间

                        set-timezone            ##设定当前时区

                        set-local-rtc 0|1 ##设定是否使用utc时间