目錄:
(一)日誌的管理
(二)日誌服務器的配置
(一)日誌的管理
在Linux系統操作的過程中,難免會遇到錯誤,此時我們應該學會查看系統日誌,通過查看日誌能夠快速的定位錯誤並迅速的解決問題。
(1.1)日誌通常是存放在/var/log/目錄下的,不同的文件中存放着不同的錯誤日誌
(1.2)例如查看用戶的登錄日誌,可以在secure文件中查看。
(1.3)想要查看用戶的郵件相關日誌,可以在maillog文件中查看。
(1.4)想要查看系統啓動過程中的相關日誌,可以在boot.log文件中查看。
(1.5)想要查看計劃任務相關的日誌信息,可以在cron文件中查看。
(1.6)在我們的系統中日誌是統一由rsyslog服務管理的,即使在最小化安裝的系統中,默認也是啓動的。日誌服務的配置文件是在/etc/rsyslog.conf當中。
(1.7)ModLoad代表的是模塊信息,在系統中啓用的模塊就有相關的功能,沒有啓用的模塊就沒有相關的功能。
(1.8)WorkDirectory代表的是工作目錄、ActionFileDefaultTemplate表示的是時間戳、IncludeConfig表示加載的文件包含的內容。
(1.9)RULES代表的是日誌收集的規則
(1.10)事件類型的格式與常見種類
(1.11)和驗證有關的事件發生了,不管是什麼級別的,都記錄到/var/log/secure文件中。
(1.12)和計劃任務相關的事件發生了,不管是什麼級別,都記錄到/var/log/cron文件中。
(1.13)不管是什麼事件發生了,只要級別是大於emerg恐慌狀態,都會在所有的終端發送消息。
(1.14)任何事件只要級別大於info,但是不包括所有的mail事件,不包括所有的驗證事件,不包括所有的計劃任務事件只要發生了,都寫入到/var/log/messages文件中。
(1.15)mail郵件相關的事件發生了,不管級別是什麼,都將使用異步傳輸的方式記錄到/var/log/maillog文件中。由於郵件量一般會很大,所以使用異步傳輸的方式記錄數據,使用內存臨時的保存一部分數據,可以提高系統傳輸數據的效率。
(1.16)定義一個local5的事件,當事件發生的級別大於debug的時候,都會記錄到/var/log/xx.log文件中。但是這個事件是不會記錄到/var/log/messages文件中,因爲debug級別要比info級別低。
(1.17)當我們在vms002主機上產生local5事件,並且級別爲info時,此時事件的消息不僅記錄在/var/log/xx.log中,也記錄在/var/log/messages文件中。
(二)日誌服務器的配置
有時候在企業內部會有上百臺服務器需要管理,如果服務器產生的日誌記錄都在對應的各個服務器上,需要一臺臺登錄服務器去查詢會非常的繁瑣。此時我們可以配置中央日誌服務器解決問題,爲了方便對每臺服務器的管理,我們需要對每臺服務器設置將各自服務器上的日誌統一發送到中央日誌服務器。這樣以後管理或者查看服務器狀態時,我們只需要登錄中央日誌服務器進行查看,就可以瞭解系統的整體情況,會方便許多。
(2.1)我們設定vms001主機爲中央日誌服務器,vms002主機爲被管理的集羣服務器之一。我們在vms002主機的/etc/rsyslog.conf配置文件中的local5.debug事件定義:如果事件產生則發送到192.168.26.101主機上。
(2.2)同時我們在vms001主機上的/etc/rsyslog.conf配置文件設置接收local5.debug事件,並保存在/var/log/vms002.log的文件中。同時將MODULES模塊中設置允許遠端的TCP和UDP數據傳輸過來。
(2.3)此時在vms002主機上發送一個local5.debug事件,會發現在vms001主機的/var/log/目錄下產生了vms002.log的日誌。
(2.4)如果從多臺集羣服務器中發送了info以上級別的事件,那麼事件不僅會記錄在每臺服務器自己專有的文件夾中,還同時會記錄到/var/log/messages文件中,這樣數據量就會非常龐大且不易管理。由於在RULES中的匹配規則是從上往下進行匹配,所以我們可以添加如下的兩行條目。
(2.5)此時在vms002主機上發送一個local5.err級別的事件,發現在vms001主機的日誌messages和vms002.log文件中都沒有產生local5.err的事件,只有在vms002host.log文件中才會記錄local5.err的事件。
(2.6)平時我們需要查看系統的相關日誌時可以使用journalctl -f命令進行查詢。
(2.7)例如查詢網絡信息報錯日誌的時候也可以使用systemctl status network -l進行查詢。
(2.8)如果需要查詢網絡報錯時的更詳細的信息,可以使用journalctl -u network.service命令進行查看。
(2.9)如果想要查看某個級別以上的日誌,則可以使用journalctl -p err進行查詢。
(2.10)如果需要查詢某個時間段的日誌信息,則可以指定時間段進行查詢。
# journalctl --since "2019-9-10 18:00:00" --until "2019-9-10 19:00:00"