系統日志管理
1.rsyslog
采集系統生成的日志，不生成日志，只起采集作用
2.rsyslog的管理

/var/log/messages服務信息日志

/var/log/secure	系統登陸日志
/var/log/cron	定時人物日志
/var/log/maillog	郵件日志
/var/log/boot.log	系統啟動日志

指定日志采集路徑
類型.級別 在#文件里 ######日志采集規則

日志類型分為

authpam產生的日志

authpriv	ssh，ftp等登陸信息的驗證信息
corn	時間任務相關
kern	內核
lpr	打印
mail	郵件
mark (syslog)-rsyslog	服務內部的信息，時間標識
news	新聞組
user	用戶程序產生的相關信息
uncp	unix to unix copy,unix主機之間的相關通訊
local 1-7	自定義的日志設備

日志級別分為

debug有調試信息的，日志信息最多

info	一般信息的日志，最常用
notice	最具有重要性的普通條件的信息
warning	警告級別
err	錯誤級別，阻止某個功能或模塊不能正常工作的信息
crit	嚴重級別，阻止整個系統或者整個軟件不能正常工作的信息
alert	需要立刻修改的信息
emerg	內核崩潰等嚴重信息
none	什么都不記錄

注：從上到下界別從低到高，記錄的信息越來越少
詳細的可以查看手冊 man 3 syslog

3.日志的遠程同步

<1>在日志發送方：
vim /etc/rsyslog.conf
寫入 * .* @172.25.254.227
####"@"表示udp協議發送，“@@”表示tcp協議發送
退出保存后重啟日志服務
systemctl restart rsyslog


<2>在日志的接收方：

vim /etc/rsyslog.conf$ModLoad imudp ##日志接收模塊 $UDPServerRun 514 ## 開啟接收端口

保存退出后重啟服務

systemctl restart rsyslogsystemctl stop firewalld ##關閉防火墻 systemctl disable firewalld ## 設定防火墻開機關閉

<3>測試：在日志發送方和接收方都清空日志文件

> /var/log/messages 在日志發送方執行 logger testcat /var/log/messages 查看日志已經生成

在日志接收方查看 cat /var/log/messages 日志已經接收到 在這里插入圖片描述 注：系統會提示報錯/etc/rc.d/rc.local文件的第18行有錯誤 為了方便顯示可以把rm -fr /etc/rc.d/rc.local這個文件刪除，然后reboot重啟， 重啟后再次查看沒有報錯

注：收發兩方的協議必須相同
4.日志采集格式設定

注：格式名稱必須是大寫， “參數”參數兩邊都有% 參數寫在什么位置生成的日志對應參數就在相應的位置不加換行不會自動換行參數中間加的分隔符會顯示到日志中出現invalid property name報錯是參數寫錯在使用該格式的日志文件后加；和格式名稱如果是給別的主機發送就在接收方的/etc/rsyslog.conf下設置同樣的格式即可，否則發送的會以接收方的格式顯示即在哪查看以哪的標準顯示

<1>vim /etc/rsyslog.conf

在規則下寫
$template 格式名稱， “%FROMHOST-IP%分隔符%timegenersted% %syslogtag% %msg%\n”

參數作用

%FROMHOST-IP%	顯示主機ip
%timegenersted%	顯示日志時間
%syslogtag%	日志記錄目標
%msg%	日志內容
\n	換行

在采集的日志文件后寫；和格式名稱

<2>systemctl restart rsyslog.service重啟服務

<3>清空日志文件，logger happy發送文件

<4>查看日志文件

<5>接收端查看日志文件，文件的格式沒有改變，這是因為剛剛時在發送端做的設置，對接收端沒有影響

<6>在接收端重復1-4步的設置


<7>發送方重新發送，接收方再次查看，這次接收方收到的日志文件格式與發送方一致，因為兩者做了同樣的設定

5.時間同步

服務名稱 chronyd 先設定一個時間源，這個時間會共享出來

服務端
<1> 服務端vim /etc/chrony.conf
22行 把時間共享出去，allow 172.25.154/24 只要前三個數字相同就可以訪問
29行 local stratum 10 表示時間源的級別，本機不同步任何主機的時間，本機作為時間源

<2>保存退出后重啟服務
systemctl restart chronyd.service

<3>服務端關閉防火墻，防火墻不允許別的主機訪問或向本機發送數據包

訪問的客戶端
<1>vim /etc/chrony.conf
刪掉原有的網址，設置一個

server 172.25.254.227 (服務端ip） iburst
訪問端 只保留一行 server 后的是ip地址，iburst是指讓更改立即生效

客戶端測試：
<1>為了區別時間可以在客戶端設置一個別的時間
date 12121213

<2>在未重啟服務之前
chronyc sources -v查看當前的設置

<2>設置后退出保存，重啟服務
systemctl restart chronyd.service

<3>重啟服務后再次date查看時間

<4>再次chronyc sources -v查看當前的設置

<5>在服務端date查看時間與客戶端對比

6.timedatectl命令
作用 管理系統時間
timedatectl status 顯示當前時間信息

timedatectl set-time 設定當前時間

timedatectl set-timezone 設定時區

timedatectl set-local-rtc 0|1設定是否使用utc時間

例：
<1>vim /etc/adjtime 查看當前采用的是否為utc時間

<2>timedatectl set-local-rtc 1 設定為采用本地時間

<3>再次vim /etc/adjtime 查看文件采用的是本地時間

timedatectl list-timezone 查看所有可用的時區

7.journalctl
(1)日志查看工具
跟之前的是相互獨立的沒有任何關系

journalctl -n 3 ## 查看最近3條日志 journalctl -p err ##查看錯誤日志 journalctl -o verbose ##查看日志的詳細參數 進入后輸入進程id可以查看與該進程有關的日志的詳細信息 journalctl --since "時間點" ## 查看從什么是金開始的日志 since和""之間必須要有空格，否則系統會報錯 journalctl --until "時間點" 查看到什么時間為止的日志 兩者搭配使用 journalctl --since "時間點1" --until “時間點2” 查看從時間點1到時間點2為止的所有日志 注意：1.時間點1必須在時間點2之前，否則系統會報錯2.進入查看狀態后按q退出 journalctl _HOSTNAME=localhost查看主機名為localhost的主機的日志

(2)使用system-journald 保存系統日志

默認systemd-journald是不保存系統日志到硬盤的
那么關機后再次開機只能看到本次開機之后的日志
上次關機之前的日志是無法查看的

<1> 建立一個日志文件

mkdir /var/log/journal

改變日志文件的所有組，給文件特殊權限

[root@client_ssh ~]# chgrp systemd-journal /var/log/journal [root@client_ssh ~]# chmod g+s /var/log/journal

ls -ld /var/log/journal 查看該文件的屬性drwxr-sr-x 2 root systemd-journal 6 Jan 15 13:36 /var/log/journal

<2>更新

[root@client_ssh ~]# killall -1 systemd-journald

<3>查看目錄的內容

[root@client_ssh ~]# ls /var/log/journal 946cb0e817ea4adb916183df8c4fc817

################ 5555 ################

[root@client_ssh ~]# bootctl System:Machine ID: 946cb0e817ea4adb916183df8c4fc817Boot ID: 1fc75817b3b74b849385b1eb77a1bcdbNo suitable data is provided by the boot manager. See:http://www.freedesktop.org/wiki/Software/systemd/BootLoaderInterfacehttp://www.freedesktop.org/wiki/Specifications/BootLoaderSpec for details.

文件中的內容是當前機器的機器id

<4>重啟虛擬機

[root@client_ssh ~]# reboot

<5>重啟后查看歷史記錄

[root@client_ssh ~]# stat /var/log/journal/946cb0e817ea4adb916183df8c4fc817File: ‘/var/log/journal/946cb0e817ea4adb916183df8c4fc817’Size: 49 Blocks: 0 IO Block: 4096 directory Device: fd01h/64769d Inode: 20204469 Links: 2 Access: (2755/drwxr-sr-x) Uid: ( 0/ root) Gid: ( 190/systemd-journal) Access: 2019-01-15 13:47:34.056488818 +0800 Modify: 2019-01-15 05:47:47.517858942 +0800 Change: 2019-01-15 05:47:47.517858942 +0800Birth: -

總結

以上是生活随笔為你收集整理的linux系统中对日志的管理的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。