RH124-10

第十章 系统日志的分析及管理

10.1  系统日志架构分析

在rhel7系统中有两个日志服务,分别是传统的rsyslog和新添加的systemd-journal.

systemd-journald是一个改进型的日志管理服务,可以收集来自内核、系统早期的启动阶段的日志、系统守护进程在启动和运行中的标准输出和错误信息,还有syslog的日志。 该日志服务仅仅把日志集中保存在单一结构化的日志文件/run/log中,默认情况下并不会持久化保存日志,每次重启后,之前的日志都会丢失。另外,一些rsyslog无法收集的日志也会被jounral记录到。

rsyslog作为传统的系统日志服务,把所有收集到的日志都记录到/var/log/目录下的各个日志文件中。常见的日志文件如下:

/var/log/messages 绝大多数的系统日志都记录到才文件

/var/log/secure 所有跟安全和认证授权等日志都会记录到此文件

/var/log/maillog 邮件服务的日志

/var/log/cron crond计划任务的日志

/var/log/boot.log 系统启动的相关日志

10.2  审查syslog日志

rsyslog.conf

syslog日志类型

syslog日志的属性:

emerg

alert

crit

err

warnning

nice

info

debug

看懂简单的日志设定规则

分析日志字段

手工发送日志logger

10.3  审查systemd Journal日志

这是systemd自带的日志服务工具

所有日志记录到/run/log文件中

# journalctl  查看所有的日志

# journalctl -n 5 查看最后5条日志

# journalctl -p err 查看err类型的日志

# journalctl -f 不断输出最后10条日志

# journalctl --since today 查看今天的日志

# journalctl --since "2014-02-10 20:30:00"  --until "2014-02-13 12:00:00"

# journalctl -o verbose  查看日志的详细信息

# journalctl _SYSTEMD_UNIT=sshd.service _PID=1182

更多的使用参数参考 journalctl(1) 和 systemd.journal-fields(7)

10.4  保存systemd Journal日志

持久化保存journal的日志,默认只会保存一个月的日志

# mkdir /var/log/journal

# chown root:systemd-journal /var/log/journal

# chmod 2755 /var/log/journal

# kill -USR1 systemd-journald

10.5  维护准确的系统时间

timedatectl 查看系统时间和设定

timedatectl list-timezones 列出可用时区

timedatectl set-timezone Asia/Shanghai 设定时区

timedatectl set-time 22:19:00 设定时间

timedatectl set-ntp true 使用网络时间同步(考试必考题)

使用chronyd服务进行网络时间同步

/etc/chrony.conf

例子:设置系统使用chrony同步时间

# timedatectl set-ntp true

# vim /etc/chrony.conf

server content.example.com iburst

把原来之际rhel自带的注释掉

# systemctl enable chronyd

# systemctl restart chronyd

验证

# chronyc sources -v

# chronyc

chronyc> waitsync

try: 1, refid: 172.25.254.254, correction: 0.000000001, skew: 0.701

==============================

10.2

[[email protected] log]# systemctl is-enabled rsyslog

enabled

[[email protected] log]#

[[email protected] log]# systemctl status rsyslog

[[email protected] log]# ls /etc/rsyslog.conf

/etc/rsyslog.conf

[[email protected] log]# man rsyslog.conf

logger -p authpriv.info -t "test" "can you see me"

10.3

ls /run/log

# journalctl --since "2017-06-3 12:30:00"  --until "2017-06-3 15:30:00"

10.4

可以改保存时间了  默认只是一个月

[[email protected] log]# vim /etc/systemd/journald.conf

#MaxFileSec=2month

永久保存的方法:

mkdir /var/log/journal

chown root:systemd-journal /var/log/journal

chmod 2755 /var/log/journal

killall -USR1 systemd-journald

运行实例:

[[email protected] log]#  mkdir /var/log/journal

[[email protected] log]#  chown root:systemd-journal /var/log/journal

[[email protected] log]#  chmod 2755 /var/log/journal

[[email protected] log]#  killall -USR1 systemd-journald

[[email protected] log]# cd /var/log

[[email protected] log]# ls

anaconda  boot.log  chrony          cron  dmesg      gdm      lastlog  maillog   ovirt-guest-agent  pm-powersave.log  qemu-ga  sa     secure             spooler   test      tuned  Xorg.0.log      yum.log

audit     btmp      cloud-init.log  cups  dmesg.old  journal  libvirt  messages  pluto              ppp               rhsm     samba  speech-dispatcher  tallylog  test.log  wtmp   Xorg.0.log.old

[[email protected] log]# ls journal/946cb0e817ea4adb916183df8c4fc817/

system.journal

时间: 2024-12-14 20:32:33

RH124-10的相关文章

百度粉红色风科技上来看积分

http://www.ebay.com/cln/508gua_gvqjq/-/167266747010/2015.02.10 http://www.ebay.com/cln/jhu2290/-/167423283013/2015.02.10 http://www.ebay.com/cln/cha.m22/-/167166250017/2015.02.10 http://www.ebay.com/cln/fenyu56/-/167382503016/2015.02.10 http://www.eb

百度附件是分开就爱死了开发了

http://www.ebay.com/cln/m_m3154/-/167249028014/2015.02.10 http://www.ebay.com/cln/zhsu412/-/167238372018/2015.02.10 http://www.ebay.com/cln/mi.han5/-/167545028015/2015.02.10 http://www.ebay.com/cln/lij5252/-/167389481016/2015.02.10 http://www.ebay.co

RH124 Chapter 2 Managing Files From the Command Line

RHEL7里面的目录结构 /bin   可执行文件(可执行应用程序).RHEL7里面/bin目录软链接到了/usr/bin /boot   和系统启动相关东西(相当于windows的100M启动分区) /dev  用户来控制内核,内核管理硬件,内核才可访问硬件.用户空间(用户管理,内核发生了映射).内核空间(直接管理硬件).不能单独划分分区 /etc       存储的是配置文件.参数文件.修改某个系统属性或服务属性.不能单独划分分区 /home    普通用户目录.类似于xp的c盘Docume

使用 Chrome 浏览器插件 Web Scraper 10分钟轻松实现网页数据的爬取

本文标签: WebScraper Chrome浏览器插件 网页数据的爬取 使用Chrome 浏览器插件 Web Scraper 可以轻松实现网页数据的爬取,不写代码,鼠标操作,点哪爬哪,还不用考虑爬虫中的登陆.验证码.异步加载等复杂问题. Web Scraper插件 Web Scraper 官网中的简介: Web Scraper Extension (Free!)Using our extension you can create a plan (sitemap) how a web site

Install Hyper-V on Windows 10

? Enable Hyper-V to create virtual machines on Windows 10.Hyper-V can be enabled in many ways including using the Windows 10 control panel, PowerShell (my favorite) or using the Deployment Imaging Servicing and Management tool (DISM). This documents

10.4 补充范围内丢失的值

select y.yr.coalesce(x.cnt,0) as cntfrom (select min_year-mod(cast(min_year as int),10)+rn as yrfrom (select (select min(extract(year from hreadate))from emp) as min_year,id-1 as rnfrom t10) a) yleft join(select extract(year from hredate) as yr,count

10.6 监控io性能 - 10.7 free命令 - 10.8 ps命令 - 10.9 查看网络状态 - 10.10 linux下抓包

- 10.6 监控io性能 - 10.7 free命令 - 10.8 ps命令 - 10.9 查看网络状态 - 10.10 linux下抓包 - 扩展tcp三次握手四次挥手 http://www.doc88.com/p-9913773324388.html  - tshark几个用法:http://www.aminglinux.com/bbs/thread-995-1-1.html  # 10.6 监控io性能 ![mark](http://oqxf7c508.bkt.clouddn.com/b

Windows 10 UWP程序标题栏设置

原文:Windows 10 UWP程序标题栏设置 在Windows 10程序中,以前只能用于全屏方式的Metro程序现在可以运行在窗口模式下了,并且改了个新名字,叫Windows 通用程序(Universal Windows app),简称UWP程序.新的UWP程序虽然大体上还是和以前的Metro程序差不多的,但还是引入了一点新东西的,本文这里就介绍一下它的标题栏设置的几个特性. 隐藏标题栏: 将应用界面扩展至 Titlebar 区域 CoreApplication.GetCurrentView

How to enable C development in a Windows 10 development environment VM

To enable C development in a Windows 10 development environment VM, follow these steps: Start VS in the Windows 10 development environment VM. Choose "File" -> "New" -> "Project", choose "Open Visual Studio Install

设置UWP程序自启动(Automate launching Windows 10 UWP apps)

原文:设置UWP程序自启动(Automate launching Windows 10 UWP apps) 在开发UWP程序的过程中,有时候需要设置程序的自启.本人实现的步骤如下: 1.在VS中激活Protocol (Package.appxmanifest --> Declarations --> Add Protocol),图示如下: 2.编译并发布项目(Build and Deploy) 发布之后Protocol被激活,在(控制面板 --> 程序 --> 默认程序 -->