linux 系统日志管理
一.什么是系统日志
1.系统日志
由进程产生,可以监控系统中发生的事件,便于用户检查维护,保护系统安全。
2.系统日志的分类
/var/log/messages ##系统服务及日志,包括服务的信息,报错等等
/var/log/secure ##系统认证信息日志
/var/log/maillog ##系统邮件服务信息
/var/log/cron ##系统定时任务信息
/var/log/boot.log ##系统启动信息
二.日志管理服务
1.日志设备(日志类型)
auth ##pam产生的日志authpriv ##ssh,ftp等登录信息的验证信息
cron ##时间任务相关
kern ##内核
lpr ##打印
mail ##邮件
mark(syslog)–rsyslog ##服务内部的信息,时间标识
news ##新闻组
user ##用户程序产生的相关信息
uucp ##unix to unix copy, unix主机之间相关的通讯
local 1~7 ##自定义的日志设备
2.日志的级别
debug ##有调式信息的,日志信息最多
info ##般信息的日志,最常用
notice ##最具有重要性的普通条件的信息
warning ##警告级别
err ##错误级别,阻止某个功能或者模块不能正常工作的信息
crit ##严重级别,阻止整个系统或者整个软件不能正常工作的信息
alert ##需要立刻修改的信息
emerg ##内核崩溃等严重信息
none ##什么都不记录
注意:从上到下,级别从低到高,记录的信息越来越少,详细可查: man 3 syslog
如图二所示,通常在日志设备后标注日志级别,mail.none,news.crit
3.日志管理服务:rsyslog
a.rsyslog 负责采集和分类存放日志
b.管理日志是,一般是修改配置文件:/etc/rsyslog.conf
修改后运行如下:
三.日志同步
1.服务端
a,关闭防火墙
b,打开传输接口(根据客户端传输方式,@UDP,@@TCP)
更改配置文件后,查看接口如下
2.客户端
更改配置文件,将日志同步给172.25.254.107的主机
客户端生成的日志,服务端主机同步生成
注意:接受方可以用tail -f /var/log/message监控日志生成
3.日志采集格式
更改配置文件 /etc/rsyslog.conf
%timegenerated% ##显示日志时间 %FROMHOST-IP% ##显示主机ip
%syslogtag% ##日志记录目标 %msg% ##日志内容
\n ##换行
四.日志分析工具journal
1.格式 systemd-journald
journalctl ##直接执行,浏览系统日志
journalctl -n 3 ##显示最新3条
journalctl -p err ##显示报错
journalctl -f ##监控日志
journalctl --since --until ## --since "[YYYY-MM-DD] [hh:mm:ss]" 从什么时间到什么时间的日志
journalctl -o verbose ##显示日志能够使用的详细进程参数
##_SYSTEMD_UNIT=sshd.service服务名称
##_PID=1182进程pid
2.系统默认情况下会重启会清空日志信息,若保留,须操作:
mkdir /var/log/journal
chown root:systemd-journal /var/log/journal
chmod 2755 /var/log/journal
killall -1 systemd-journald
ls /var/log/journal/4513ad59a3b442ffa4b7ea88343fa55f
system.journal user-1000.journal
五.时间同步
1.服务端(关闭防火墙)
修改主配置文件 /etc/chrony.conf
2.客户端修改主配置文件 /etc/chrony.conf
3.测试
注意:^?表示时间未同步,文件重新加载后,服务端与客户端时间一致
六.timedatectl 命令
timedatectl status ##显示当前时间信息
timedatectl set-time ##设定当前时间
timedatectl set-timezone ##设定当前时区
timedatectl set-local-rtc 0|1 ##设定是否使用utc时间
注意:此功能的实现需要联网
timedatectl list-timezones ##显示系统支持的时区