系统中日志的管理（二）

1.日志的远程同步

（1）日志的发送方：输入命令，更改文件配置，将指定的日志发送给接收方，其中有两种协议发送，一种为upd，另一种为tep协议，两种协议发送方式不同，更改时要注意

    vim /etc/rsyslog.conf    
    *.*                  @172.25.254.220    
    .   表示所有日志
    @表示udp协议的发送，@@表示tep协议的发送

练习：

（2）日志的接收方
同样需要更改配置文件后，才能接收到来自于发送方加载的日志文件
vim /etc/rsyslog.conf
打开日志的15/16行的协议接收端口

        重新启动系统，重新读取配置文件
         systemctl restart rsyslog
         
     关闭防火墙
     systemctl stop firewalld

在日志的传送接收过程中，由于地区的时差不同，会导致传过来的文件也有时差，所以对于一台同时管理多台多地区的电脑，需要按照一个统一的时间来管理，就比较方便了

2.日志的时间同步服务

服务名称：chronyd
（1）服务端（接收日志方）
更改配置文件，将接收过来的日志统一化成自己的时间
vim /etc/chrony.conf
22行 allow 172.25.120/24   允许这个ip的主机同步本机的时间
29行 local startum 10   本机不同步任何主机的时间，本机作为时间源、

systemctl restart chronyd  重新加载一次配置文件

更改本机自己的时间:timedatectl set-Asia /shangha 将时间更改为伤害时间

（2）客户端（发送日志方）
更改配置文件:
vim /etc/chrony.conf
serxr 172.25.254.220 inbuest       本机同步ip为172.25.254.220的主机的时间
systemctl restart chronyd 
timedatectl set-timezone Asia/shanghai  更改当前时区为垌8区

（3）测试
在客户端（日志发送方）输入以下命令：
chronyc sources -v

练习：

timedatectl 命令
timedatectl  是管理系统时间的命令
timedatectl status 显示系统当前时间信息
                  set-time 设定当前时间
                  set-timezone 设定当前时区
                  set-local-rtc 0|1  设定是否使用utc时间（0为使用。1为不使用）

3.系统中日志的具体查看

（1）日志的查看
    journal是系统中日志查看命令
            journalctl  命令
        journalctl -n 10 查看最近10条命令
        journalctl -p err  查看错误的日志
        journalctl -o verbose  查看日志的详细参数
        journalctl  --since 查看从什么时间开始的日志
        joiurnalctl --until 查看从时间时间结束的日志

练习：

（2）默认情况下，系统日志在经过关机重启后，重启之前日志是不被保留的，我们可以使用systemd-journald 将所有日志可保存下来，方便管理

mkdir /var/log/rizhi
chgrp systemd-journal /var/log/rizhi
chmod g+s /var/log/rizhi
killall -l systemd-journald
ls /var/log/rizhi