系統日誌管理

2021-09-25 11:09:14 字數 3775 閱讀 7638

一、rsyslog

此服務時用來採集系統日誌的,他不產生日誌,只是起到採集作用

二、rsyslog的管理

vim /etc/rsyslog.conf

/var/log/messages

服務資訊日誌

/var/log/secure

系統登陸日誌

/var/log/cron

定時任務日誌

/var/log/maillog

郵件日誌

/var/log/boot.log

系統啟動日誌

指定日誌採集路徑

什麼型別的日誌.什麼級別的日誌 /var/log/file (日誌採集規則)

日誌型別:

auth

pam產生的日誌

authpriv

ssh,ftp等登入資訊的驗證資訊

cron

時間任務相關

kern

核心lpr

列印mail

郵件mark(syslog)–rsyslog

服務內部的資訊,時間標識

news

新聞組user

使用者程式產生的相關資訊

uucp

unix to unix copy, unix主機之間相關的通訊

local 1~7

自定義的日誌裝置

日誌級別:

debug

有調式資訊的,日誌資訊最多

info

一般資訊的日誌,最常用

notice

最具有重要性的普通條件的資訊

warning

警告級別

err錯誤級別,阻止某個功能或者模組不能正常工作的資訊

crit

嚴重級別,阻止整個系統或者整個軟體不能正常工作的資訊

alert

需要立刻修改的資訊

emerg

核心崩潰等嚴重資訊

none

什麼也不記錄

##注意:從上到下,級別從低到高,記錄的資訊越來越少

##詳細的可以檢視手冊: man 3 syslog

三、日誌的遠端同步

在日誌傳送方:

vim /etc/rsyslog.conf

. @172.25.254.200 ##"@「表示udp協議傳送,」@@"表示tcp協議傳送

systemctl restart rsyslog

在日誌接收方:

vim /etc/rsyslog.conf

15 $modload imudp ##日誌接收模組

16 $udpserverrun 514 ##開啟接收埠

systemctl restart rsyslog

systemctl stop firewalld ##關閉火牆

systemctl disable firewalld ##設定火牆開機關閉

測試:在傳送放和接受放都清空日誌檔案

/var/log/messages

在日誌的傳送方

logger test

cat /var/log/messages ##檢視日誌已經生成

在日誌接收方檢視

cat /var/log/messages

四、日誌採集格式的設定

在日誌的接收方做

vim /etc/rsyslog.conf

$template logfmt, 「%timegenerated% %fromhost-ip% %syslogtag% %msg%\n」

*.*    /var/log/westos;logfmt

cat /var/log/westos

%timegenerated%

顯示日誌時間

%fromhost-ip%

顯示主機ip

%syslogtag%

志記錄目標

%msg%

日誌內容

\n換行

五、時間同步服務

先改服務端主機時間

date 11111111

服務名稱

chronyd

systemctl restart chronyd

timedatectl set-timezone asia/shanghai ##更改當前時區為東8區

六、timedatectl 命令

timedatectl 管理系統時間

timedatectl status ##顯示當前時間資訊

set-time ##設定當前時間

set-timezone ##設定當前時區

set-local-rtc 0|1 ##設定是否使用utc時間

list-timezone ##檢視支援的所有時區

timedatectl set-time 「2018-08-09 12:00:00」

biso時間初始化為 lundun時間 bios time + timezone(系統時間)

cat /etc/adjtime

七、journalctl

1.journalctl ##日誌檢視工具

-n 3 ##檢視最近3條日誌

-p err ##檢視錯誤日誌

-o verbose ##檢視日誌的詳細引數 (舉例sshd,重啟pid會變,檢視原來pid的日誌)journalctl _pid=827 _comm=sshd

–since ##檢視從什麼時間開始的日誌

–until ##檢視到什麼時間為止的日誌

journalctl --since 「2018-11-11 12:00」 --until 「2018-11-11 12:01」 (檢視時間段內的日誌)

注意:journalctl是檢視記憶體中日誌,不儲存

2.如何使用systemd-journald儲存系統日誌

預設systemd-journald是不儲存系統日誌到硬碟的

那麼關機後再次開機只能看到本次開機之後的日誌

上以次關機之前的日誌是無法檢視的

#重啟演示

ll 946cb0e817ea4adb916183df8c4fc817 #看目錄時間,這個時間之後的都記錄,重啟測試

Linux系統日誌管理

在linux系統上面,系統可以記錄從開機到當前系統上面何時發生了哪些事情,並將其分類,分別寫到特定的日誌檔案當中,如系統自身產生的問題 使用者登入資訊,網路資料資訊等等,我們可以根據這些日誌資訊來解決系統方面的錯誤,網路服務問題等等 1.日誌 歷史事件 時間,地點,人物,事件 日誌級別 事件的關鍵性...

系統日誌管理 journalctl

日誌檢視工具 journalctl命令注 此命令檢視的是核心裡所儲存的日誌,機子重啟後會自動消失。journalctl n 3 參看最近3條日誌 journalctl p err 檢視錯誤日誌 journalctl o verbose pid 10 檢視具體日誌資訊 journalctl o ver...

系統日誌的管理

1,rsyslog 此服務用來採集系統的日誌,不產生日誌,只是起到採集的作用 1,var log messages 服務資訊日誌 2,var log secure 系統登陸日誌 3,var log cron 定時任務日誌 4,var log mailllog 郵件日誌 5,var log boot....