系统日志

1.系统日志默认分类

    /var/log/messages            ##系统服务及日志，包括服务的信息，报错等等

    /var/log/secure            ##系统认证信息日志

    /var/log/maillog            ##系统邮件服务信息

    /var/log/cron                ##系统定时任务信息

    /var/log/boot.log            ##系统启动信息

2.日志管理服务rsyslog

    1)rsyslog负责采集日志和分类存放日志

    2)rsyslog日志分类

    vim /etc/rsyslog.conf        #主配置文件

    服务.日志级别#存放文件

    *.*/var/log/westos

    systemctl restart rsyslog

3.格式

    日志设备（类型）.（连接符号）日志级别          日志处理方式（action）

4.日志设备（可以理解为日志类型）

    auth            #pam产生的日志

    authpriv            #ssh，ftp等登陆信息的验证信息

    cron            #时间任务相关

    kern            #内核

    lpr            #打印

    mail            #邮件

    mark（syslog）-rsyslog        #服务内部的信息，时间标识

    news            #新闻组

    user            #用户程序产生的相关信息

    uucp            #unix to unix copy，unix主机之间的通讯

    local 1～7        #自定义的日志设备

5.日志级别

    debug        #有调式信息的，日志信息最多

    info        #一般信息的日志，最常用

    notic        #除info外的一些要注意的信息

    warn        #警示信息

    err        #重大错误信息

    crit        #比err更严重的错误信息

    alert        #警告，比crit严重

    emerg        #最严重的错误信息

6.实例

    *.* /var/log/file.log        #绝对路径

    *.* /dev/pts/0

    发送给用户（需要在线才能收到）

    *.* root

    *.*  root,kadefor,up01    #使用，号分隔多个用户

    *.*     *        #*号表示所有在线用户

    忽略，丢弃

    local3.* ～        #忽略所有local3类型的所有级别日志

    执行脚本

    local3.^/tmp/a.sh        #^号后跟可执行脚本或程序的绝对路径

                    #日志内容可以作为脚本的第一个参数。

                    #可用来触发报警

7.日志同步

    systectl stop firewalld        #关闭两台主机的防火墙

    配置日志发送方

    *.*172.25.0.11        #通过udp协议把日志发送到11主机，@udp，@@tcp

    配置日志接收方

    15 $ModLoad imudp        #日志接收插件

    16 $UDPServerRunq 514        #日志接收插件使用端口

    netstat -anulpe | grep rsyslog

    > /var/log/messages        #两边都作

    ogger test messagees        #日志发送方

    tail -f /var/log/messages        #日志接收方

8.日志采集格式

    45 $template WESTOS, “%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n”

    46 $ActionfileDefaultTemplate WESTOS

9.日志分析

    systemd-journald        ###日志分析进程

    journalctl            ###直接执行，浏览系统日志

    journalctl -n 5        ##查看最近生成的5条日志

    journalctl -p err        ##查看系统报错

    journalctl --since --until     ###查看某个时间段生成的日志

    journalctl -o verbose        ###查看日志能够使用的条件参数

    journalctl_UID=                ##进程uid

        _PID=                ##进程id

        _GID=                ##进程gid

        _HOSTNAME=              ##进程所在主机

        _SYSTEMD_UNIT=            ##服务名称

        _COMM=                ##命令名称

    对systemd-journalctl管理

    ##默认情况下此程序会忽略重启前的日志信息，如不忽略：

    mkdir /var/log/journalctl

    chown root:systemd-journal /var/log/journal

10.日志监控工具的设定

        默认情况下journalctl是无法看到关机之间产生的日志的

        如果向检测到这类日志设置如下

        [root@serverX ~]#mkdir /var/log/journal

        [root@serverX ~]#chown root:systemd-journal /var/log/journal

        [root@serverX ~]#chmod 2755 /var/log/journal

        Send the USR1 signal to the systemd-journald or reboot serverX.

        [root@serverX ~]#killall -USR1 systemd-journald

        [root@serverX ~]#ls /var/log/journal/4513ad59a3b442ffa4b7ea88343fa55f

        system.journal user-1000.journal

11.如何同步系统时间

    1.确定时间源地址

    172.25.254.254

    2.确定客户主机使用的时间同步服务

    chronyd.service

    3.在chronyd.service服务中加载时间源地址

    vim /etc/chrony.conf

    server172.25.254.254 iburst

    systemctl restart chronyd.service

12.timedatectl

    timedatectl list-timezones##列出时区

    timedatectl set-timezone 时区##设定时区

    timedatectl set-time HH：mm：ss##设定系统时间

本文出自 “12110289” 博客，谢绝转载！

Unit 10