Linux系统运维--日志管理
Linux系统运维–日志管理
rsyslog系统中的作用
- /var/log/boot.log
与系统启动有关的日志 - /var/log/messages
大多数系统日志信息记录此处 - /var/log/secure
安全和认证相关的消息和错误文件 - /var/log/maillog
与邮件服务器相关的日志文件 - /var/log/cron
与定时任务有关的日志文件
rsyslog.service:记录日志文件服务
查看该服务是否启动
rsyslog采集策略
编辑自己设定的采集规则
1编辑/etc/rsyslog.conf文件
2在rules下按格式编辑文件
将所有格式存入westos文件夹中
| 日志类型 | 含义 |
|---|---|
| auth | pam产生的日志 |
| authpriv | ssh,ftp等登录信息的验证信息 |
| cron | 时间任务相关 |
| kern | 内核 |
| news | 新闻组 |
| user | 用户程序产生的相关信息 |
| local1-7 | 自定义的日志设备 |
| 日志级别 | 含义 |
|---|---|
| dabug | 调试信息日志信息 |
| info | 一般信息的日志,最常用 |
| notice | 最具有重要性的普通日志的信息 |
| warning | 警告级别 |
| err | |
| crit | 严重级别 |
| alert | 需要立刻修改的信息 |
| emerg | 内核崩溃等严重信息 |
| none | 什么都不记录 |
例
auth。info /var/log/westos #将pam日志文件放到westos里
3 日志的远程同步
@ TCP:传输可靠,效率较慢。
@@ UDP:传输 速度快,不一定保证送到。保证管理的服务器都在,通用在内部机房。
格式:
编辑/etc/rsyslog.conf文件
发送端:所有日志文件发送到,172.25.254.100这台主机中
4 自定义日志采集格式
vim /etc/rsyslog。conf
¥template LOGFNT,“”
| 格式 | 含义 |
|---|---|
| %timegenerated | 显示日志时间 |
| %FROMHOST-IP% | 显示主机ip |
| %syslogtag% | 日志记录目标 |
| %msg% | 日志内容 |
| \n | 换行 |
得到了自己定义的格式的日志文件
5 系统时间调整工具
查看详细时间
改变时间
硬件时间变成当前时间
更改时间
6 时间同步服务
1在时间服务器上编辑文件
vim /etc/chrony.conf
2编辑这两个地方
3 在接收方,编辑/etc/chrony.conf
表示已经同步
journalctl命令
| 参数 | 含义 |
|---|---|
| -n | 显示最近的几行 |
| -r | 反向输出 |
| -p | 显示后面所接信息的重要性排序 |
| -f | 持续tail -f功能,持续显示journal日志的内容 |
直接查看内存中的日志
查看十条
三条
8 利用systemd-journal采集日志
默认不保存系统日志到硬盘的
关机再次开机只能看到本次开机之后的日志
上次关机之前的日志无法查看的
1建立日志采集路径
2更改组
3更改权限
4刷新进程