一、系統默認日誌分類
1、/var/log/messages ##系統服務及日誌,包括服務的信息,報錯等等
2、var/log/secure ##系統認證信息日誌
3、/var/log/maillog ##系統郵件服務信息
4、/var/log/cron ##系統定時任務信息
5、/var/log/boot.log ##系統啓動信息
二、日誌管理服務
1.rsyslog負責採集日誌和分類存放日誌
2.rsyslog日誌分類
vim /etc/rsyslog.conf ##主配置文件
服務.日誌級別 /存放文件
*.* /var/log/files
systemctl restart rsyslog
生成一個日誌後將會記錄到file1文件中
logger命令用於產生一條日誌
上述命令中“*.*”中,第一個*匹配日誌設備(類型):
auth ##pam產生的日誌
authpriv ##ssh,ftp等登錄信息的驗證信息
cron ##時間任務相關
kern ##內核
lpr ##打印
mail ##郵件
mark(syslog)–rsyslog ##服務內部的信息,時間標識
news ##新聞組
user ##用戶程序產生的相關信息
uucp ##unix to unix copy, unix主機之間相關的通訊
local 1~7 ##自定義的日誌設備
第二個*匹配日誌級別:
debug ##有調式信息的,日誌信息最多
info ##般信息的日誌,最常用
notice ##最具有重要性的普通條件的信息
warning ##警告級別
err ##錯誤級別,阻止某個功能或者模塊不能正常工作的信息
crit ##嚴重級別,阻止整個系統或者整個軟件不能正常工作的信息
alert ##需要立刻修改的信息
emerg ##內核崩潰等嚴重信息
none ##什麼都不記錄
注意:從上到下,級別從低到高,記錄的信息越來越少
詳細的可以查看手冊: man 3 syslog
連接符號:
.xxx:
表示大於等於xxx級別的信息
.=xxx:表示等於xxx級別的信息
.!xxx:表示在xxx之外的等級的信息
三、日誌同步
1、關掉兩部虛擬機的火牆
2、配置日誌發送方(在發送方的/etc/rsyslog.conf)
*.* @172.25.0.11 ##通過udp協議把日誌發送到11主機,其中:@表示udp,@@表示tcp
3、配置日誌接收方
15 $ModLoad imudp 日誌接收插件
16 $UDPServerRun 514 日誌接收插件使用端口
在/etc/rsyslog.conf文件中,將這兩行前的#去掉
4、測試
> /var/log/messages ##將日誌清空,便於查詢同步日誌(兩邊都做)
logger test message ##產生日誌信息,只在發送方做
cat /var/log/message ##在接受方做,查看是否同步過來
四、日誌採集格式
$template WESTOS, "%timegenerated% %FROMHOST-IP%%syslogtag% %msg%\n"
*.info;mail.none;authpriv.none;cron.none /var/log/messages;WESTOS ##表示以WESTOS這種形式記錄日誌
%timegenerated% ##顯示日誌時間
%FROMHOST-IP% ##顯示主機ip
%syslogtag% ##日誌記錄目標
%msg% ##日誌內容
\n ##換行
測試:
五、日誌分析工具
1、systemd-journald ##進程名稱
2、journalctl ##直接執行,瀏覽系統日誌
3、jourmal -n 3 ##顯示最新3條
4、journal -p err ##顯示報錯
5、journal -f ##監控日誌
6、--since --until ##--since "[YYYY-MM-DD] [hh:mm:ss]" 從什麼時間到什麼時間的日誌
7、-o verbose ##顯示日誌能夠使用的詳細進程參數
8、對systemd-journald管理 ##默認情況下此程序會忽略重啓前的日誌信息,如不想忽略,則可做如下操作
reboot爲重啓,重啓後即可記錄重啓前的日誌信息:
六、時間同步
對服務端的操作:
yum install chrony -y ##安裝服務
vim /etc/chrony.conf ##主配置文件
21 # Allow NTP client access from local network.
22 allow 172.25.20.12/24 ##允許誰去同步我的時間
27 # Serve time even if not synchronized to any NTP server.
28 local stratum 10 #不去同步任何人的時間,時間同步服務器級別
systemctl restart chronyd ##重新加載才能生效
systemctl stop firewalld ##關閉火牆才能同步
對客戶端的操作:
vim /etc/chrony.conf ##將該文件中3,4,5,6行刪除3行,保留一行並更改爲需要同步的IP
測試:同時用watch指令對服務端和客戶端進行監控:
對比兩圖可知:時間基本同步
七、timedatectl命令基本用法
1、timedatectl status ##顯示當前時間信息
2、timedate set-time ##設定當前時間
3、timedate set-timezone ##設定當前時區
4、timedatectl set-local-rtc 0|1 ##設定是否使用utc時間 (0 爲未使用;1 爲使用)