Linux---系统日志管理和时间同步服务

##系统日志管理##
1.rsyslog   ##此服务时用来采集系统日志的，它不产生日志，只是起到采集作用

2.rsyslog的管理
/var/log/message  ##服务信息日志
/var/log/secure   ##系统登陆日志
/var/log/corn     ##定时任务气质
/var/log/maillog  ##邮件日志
/var/log/boot.log ##系统启动日志
指定日志采集路径，什么类型的日志。什么级别的日志  

/var/log/file  ##日志采集规则

日志类型分为：
auth      ##pam产生的日志
authpriv  ##ssh，ftp等登陆信息的验证信息
cron ##时间任务相关
kern ##内核
lpr  ##打印
mail ##邮件
mark(syslog)-rsyslog ###服务内部的信息，时间标识
news  ##新闻组
user  ##用户程序产生的相关信息
uucp  ##unix to unix copy， unix主机之间相关的通讯
local 1~7 ##自定义的日志设备

##日志级别分为：
debug ##有调式信息的，日志信息最多
info ##般信息的日志，最常用
notice ##最具有重要性的普通条件的信息
warning ##警告级别
err ##错误级别，阻止某个功能或者模块不能正长工作的信息
crit  ##严重级别
alert ##需要立刻修改的信息
emerg   ##内核崩溃等严重信息
none     ##什么都不记录

##注意;从上到下，级别从地道高，记录的信息越来越少
##详细的可以查看手册： man 3 syslog

3.日志的远程同步
在日志发送方：
 先输入命令vim /etc/rsyslog.conf进去修改
*.*     @172.25.254.147         ###@表示udp协议发送，@@表示tcp协议发送

修改方法如图：

 然后执行命令systemctl restart rsyslog

在日志接收方：
先输入vim /etc/rsyslog.conf命令进行一定的修改如下
15  $ModLoad imudp     ##日志接受模块
16  $UDPServerRun 514  ##开启接受端口

修改方法如图：

   然后依次执行systemctl  restart rsyslog
                           systemctl    stop   firewalld  ##关闭火墙
                           systemctl    disable  firewalld##设定火墙开机关闭

测试时：
在发送方和接受方都清空日志文件
> /var/log/messages

在日志的发送方
logger  test

cat /var/log/messages

在日志接受方查看
cat /var/log/messages

以上的总体过程如图：

接收方操作过程：

发送方操作过程：

##日志采集格式的设定##

执行命令vim /etc/rsyslog.conf进入后修改部分如图：

$template WESTOS， “%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n"

其中：

  %timegenerated%   ##显示日志时间
  %FROMHOST-IP%   ##显示主机ip
  %syslogtag%  ##日志记录目标
  \n  ##换行
  %msg%  ##日志内容
然后用命令  cat     /var/log/westos查看

##时间同步服务##
服务名称
chronyd

在服务段：
先执行vim  /etc/chrony.conf命令在其中按下面操作修改
22 allow 172.25.254.0/24    ##允许那些客户端来同步本机时间
29 local stratum 10     ##本纪不同不任何主机的时间，本纪作为时间元

修改后如图：

systemctl restart chronyd
timedatectl set-timezone Asia/Shanghai   ##更改当前时区为东8区

在客户端：
先执行命令vim /etc/chrony.conf在其中安下面的要求修改
server 172.25.254.247 iburst   ##本纪立即同步247主机的时间

修改后如图：

systemctl restart chronyd
timedatectl set-timezone Asia/Shanghai ##更改当前时区为东8区
测试：
  chronyc  sources -v

总体过程如下：

客户端操作如下图：

服务端操作如下图：

##5.timedatectl命令##
timedatectl   ##管理系统时间
timedatectl   staus     ##显示当前时间信息
              set-time  ##设定当前时间
              set-timezone ##设定当前时区
              set-local-rtc 0|1##设定是否使用utc时间
              list-timezone  ##查看支持的所有时区

图为timedatectl管理系统时间命令：

###journal###
1.journalctl   ##日志查看工具
          -n 3  ##查看最近三条日志
          -p  err ##查看错误日志
          -o  verbose ##查看日志的详细参数
          --since   ##查看从什么时间开始的日志
          --until   ##查看到什么时间为止的日志

图为使用journalctl日志查看工具：

2.如何使用systemd-ournald保存系统日志
默认systemd-journald时不保存系统日志到硬盘的
那么关机后再次开机只能看到本次开始之后的日志上以次关机之前的日志时无法查看的

如图所示：