Unit 10

系统日志

1.系统日志默认分类

/var/log/messages            ##系统服务及日志，包括服务的信息，报错等等

/var/log/secure            ##系统认证信息日志

/var/log/maillog            ##系统邮件服务信息

/var/log/cron                ##系统定时任务信息

/var/log/boot.log            ##系统启动信息

2.日志管理服务rsyslog

1)rsyslog负责采集日志和分类存放日志

2)rsyslog日志分类

vim /etc/rsyslog.conf        #主配置文件

服务.日志级别#存放文件

*.*/var/log/westos

systemctl restart rsyslog

3.格式

日志设备（类型）.（连接符号）日志级别          日志处理方式（action）

4.日志设备（可以理解为日志类型）

auth            #pam产生的日志

authpriv            #ssh，ftp等登陆信息的验证信息

cron            #时间任务相关

kern            #内核

lpr            #打印

mail            #邮件

mark（syslog）-rsyslog        #服务内部的信息，时间标识

news            #新闻组

user            #用户程序产生的相关信息

uucp            #unix to unix copy，unix主机之间的通讯

local 1～7        #自定义的日志设备

5.日志级别

debug        #有调式信息的，日志信息最多

info        #一般信息的日志，最常用

notic        #除info外的一些要注意的信息

warn        #警示信息

err        #重大错误信息

crit        #比err更严重的错误信息

alert        #警告，比crit严重

emerg        #最严重的错误信息

6.实例

*.* /var/log/file.log        #绝对路径

*.* /dev/pts/0

发送给用户（需要在线才能收到）

*.* root

*.*  root,kadefor,up01    #使用，号分隔多个用户

*.*     *        #*号表示所有在线用户

忽略，丢弃

local3.* ～        #忽略所有local3类型的所有级别日志

执行脚本

local3.^/tmp/a.sh        #^号后跟可执行脚本或程序的绝对路径

#日志内容可以作为脚本的第一个参数。

#可用来触发报警

7.日志同步

systectl stop firewalld        #关闭两台主机的防火墙

配置日志发送方

*.*172.25.0.11        #通过udp协议把日志发送到11主机，@udp，@@tcp

配置日志接收方

15 $ModLoad imudp        #日志接收插件

16 $UDPServerRunq 514        #日志接收插件使用端口

netstat -anulpe | grep rsyslog

> /var/log/messages        #两边都作

ogger test messagees        #日志发送方

tail -f /var/log/messages        #日志接收方

8.日志采集格式

45 $template WESTOS, “%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n”

46 $ActionfileDefaultTemplate WESTOS

9.日志分析

systemd-journald        ###日志分析进程

journalctl            ###直接执行，浏览系统日志

journalctl -n 5        ##查看最近生成的5条日志

journalctl -p err        ##查看系统报错

journalctl --since --until     ###查看某个时间段生成的日志

journalctl -o verbose        ###查看日志能够使用的条件参数

journalctl_UID=                ##进程uid

_PID=                ##进程id

_GID=                ##进程gid

_HOSTNAME=              ##进程所在主机

_SYSTEMD_UNIT=            ##服务名称

_COMM=                ##命令名称

对systemd-journalctl管理

##默认情况下此程序会忽略重启前的日志信息，如不忽略：

mkdir /var/log/journalctl

chown root:systemd-journal /var/log/journal

10.日志监控工具的设定

默认情况下journalctl是无法看到关机之间产生的日志的

如果向检测到这类日志设置如下

[[email protected] ~]#mkdir /var/log/journal

[[email protected] ~]#chown root:systemd-journal /var/log/journal

[[email protected] ~]#chmod 2755 /var/log/journal

Send the USR1 signal to the systemd-journald or reboot serverX.

[[email protected] ~]#killall -USR1 systemd-journald

[[email protected] ~]#ls /var/log/journal/4513ad59a3b442ffa4b7ea88343fa55f

system.journal user-1000.journal

11.如何同步系统时间

1.确定时间源地址

172.25.254.254

2.确定客户主机使用的时间同步服务

chronyd.service

3.在chronyd.service服务中加载时间源地址

vim /etc/chrony.conf

server172.25.254.254 iburst

systemctl restart chronyd.service

12.timedatectl

timedatectl list-timezones##列出时区

timedatectl set-timezone 时区##设定时区

timedatectl set-time HH：mm：ss##设定系统时间