一、系统默认日志分类
1、/var/log/messages ##系统服务及日志,包括服务的信息,报错等等
2、var/log/secure ##系统认证信息日志
3、/var/log/maillog ##系统邮件服务信息
4、/var/log/cron ##系统定时任务信息
5、/var/log/boot.log ##系统启动信息
二、日志管理服务
1.rsyslog负责采集日志和分类存放日志
2.rsyslog日志分类
vim /etc/rsyslog.conf ##主配置文件
服务.日志级别 /存放文件
*.* /var/log/files
systemctl restart rsyslog
生成一个日志后将会记录到file1文件中
logger命令用于产生一条日志
上述命令中“*.*”中,第一个*匹配日志设备(类型):
auth ##pam产生的日志
authpriv ##ssh,ftp等登录信息的验证信息
cron ##时间任务相关
kern ##内核
lpr ##打印
mail ##邮件
mark(syslog)–rsyslog ##服务内部的信息,时间标识
news ##新闻组
user ##用户程序产生的相关信息
uucp ##unix to unix copy, unix主机之间相关的通讯
local 1~7 ##自定义的日志设备
第二个*匹配日志级别:
debug ##有调式信息的,日志信息最多
info ##般信息的日志,最常用
notice ##最具有重要性的普通条件的信息
warning ##警告级别
err ##错误级别,阻止某个功能或者模块不能正常工作的信息
crit ##严重级别,阻止整个系统或者整个软件不能正常工作的信息
alert ##需要立刻修改的信息
emerg ##内核崩溃等严重信息
none ##什么都不记录
注意:从上到下,级别从低到高,记录的信息越来越少
详细的可以查看手册: man 3 syslog
连接符号:
.xxx:
表示大于等于xxx级别的信息
.=xxx:表示等于xxx级别的信息
.!xxx:表示在xxx之外的等级的信息
三、日志同步
1、关掉两部虚拟机的火墙
2、配置日志发送方(在发送方的/etc/rsyslog.conf)
*.* @172.25.0.11 ##通过udp协议把日志发送到11主机,其中:@表示udp,@@表示tcp
3、配置日志接收方
15 $ModLoad imudp 日志接收插件
16 $UDPServerRun 514 日志接收插件使用端口
在/etc/rsyslog.conf文件中,将这两行前的#去掉
4、测试
> /var/log/messages ##将日志清空,便于查询同步日志(两边都做)
logger test message ##产生日志信息,只在发送方做
cat /var/log/message ##在接受方做,查看是否同步过来
四、日志采集格式
$template WESTOS, "%timegenerated% %FROMHOST-IP%%syslogtag% %msg%\n"
*.info;mail.none;authpriv.none;cron.none /var/log/messages;WESTOS ##表示以WESTOS这种形式记录日志
%timegenerated% ##显示日志时间
%FROMHOST-IP% ##显示主机ip
%syslogtag% ##日志记录目标
%msg% ##日志内容
\n ##换行
测试:
五、日志分析工具
1、systemd-journald ##进程名称
2、journalctl ##直接执行,浏览系统日志
3、jourmal -n 3 ##显示最新3条
4、journal -p err ##显示报错
5、journal -f ##监控日志
6、--since --until ##--since "[YYYY-MM-DD] [hh:mm:ss]" 从什么时间到什么时间的日志
7、-o verbose ##显示日志能够使用的详细进程参数
8、对systemd-journald管理 ##默认情况下此程序会忽略重启前的日志信息,如不想忽略,则可做如下操作
reboot为重启,重启后即可记录重启前的日志信息:
六、时间同步
对服务端的操作:
yum install chrony -y ##安装服务
vim /etc/chrony.conf ##主配置文件
21 # Allow NTP client access from local network.
22 allow 172.25.20.12/24 ##允许谁去同步我的时间
27 # Serve time even if not synchronized to any NTP server.
28 local stratum 10 #不去同步任何人的时间,时间同步服务器级别
systemctl restart chronyd ##重新加载才能生效
systemctl stop firewalld ##关闭火墙才能同步
对客户端的操作:
vim /etc/chrony.conf ##将该文件中3,4,5,6行删除3行,保留一行并更改为需要同步的IP
测试:同时用watch指令对服务端和客户端进行监控:
对比两图可知:时间基本同步
七、timedatectl命令基本用法
1、timedatectl status ##显示当前时间信息
2、timedate set-time ##设定当前时间
3、timedate set-timezone ##设定当前时区
4、timedatectl set-local-rtc 0|1 ##设定是否使用utc时间 (0 为未使用;1 为使用)