1、Linux 7中日志的基本系统架构
进程和操作系统内核在发生事件时,对事件做相应的记录;
RHEL7 当中有两个服务负责处理日志;
journald 可以收集来自内核/启动过程/标准输出/系统日志/进程运行中期间的相关日志信息; 系统重启,日志消失; 默认的存储路径 /run/log/journal
rsyslog 可以根据服务类型和优先级分类日志进行保存;
系统重启后,日志不会消失; 默认的存储路径 /var/log
/var/log/message 大多数syslog消息记录的位置
/var/log/secure 安全与认证相关的日志信息
/var/log/maillog 邮件相关日志信息
/var/log/corn 任务计划相关的日志
/var/log/boot.log
journalctl 查看journal 相关日志
2、查看 syslog文件条目
(1)日志的安全级别
rsyslog 它的配置后文件 /etc/rsyslog.conf
日志级别 可以通过 man rsyslog.config 查找相应的帮助信息
优先级 code 安全信息
debug 0 调试级别信息
Info 1 信息性事件
Notice 2 正常信息,有重要情况才会通知
Wanring 3 警告状况
Err 4 非常严重的错误情况
Crit 5 严重情况
Alert 6 必须要采取措施
Emerg 7 系统不可用
vim /etc/rsyslog.conf
vim /etc/rsyslog.d
tail -f /var/log/secure
tail -f /var/log/message
自定义日志文件(不太看得懂)
cd /etc/rsyslog.d/
touch debugtest.conf
vim debugtest.conf
Local7.debug /var/log/debug-message
Systemctl restart rsyslog.service
Logger -p local7.debug “this is debug-message test”
日志的轮询: logrotate
防止日志文件空间被占满,会自动对日志文件做备份;
配置文件的位置 vim /etc/logrotate.conf
weekly 每周轮询一次
Hourly
Daily
datefomate
Rotate 4 备份数量,备份四次
Create 是否创建新的日志文件
Dateext 是否写入日期
Compress 是否压缩日志文件
Missingok 日志轮询期间,出现错误被忽略
Include /etc/logrotate.d
/var/log/corn
/var/log/maillog
/var/log/messages
{ sharedscripts
Postrotate
Endscript }
Man logrotate
systemctl restart rsyslog.service
3、发现和解释日志记录在系统日志内容。
cd /run/log/jorunal jorunal 日志查看不是直接查看jorunal中的文件内容
Journal 日志自带索引功能
Journalctl 查看所有的journal 日志
Journalctl --跟选项
-f
--since “2016-10-15” --until “2016-10-16”
--priority 通过优先级类型过虑相关日志
--unit rsyslog.service
--unit sshd.service
_UID=1000
配置systemd-journald日志, 储存在磁盘上而不是在内存中的日志。
在/var/log 创建一个目录 journal
mkdir journal 默认生成为root权限来管理该文件夹
Cat /etc/passwd | grep journal
Cat/etc/group | grep journal
Systemd-journal:x:190: 使用Systemd-journal组权限进行管理
chown :systemd-journal journal
chmod 2755 jorunal/
ls -ld /run/log/journal
Killall -USR1 systemd-journald
4、时间同步和时区配置
date -s 修改时间,临时生效
timedatectl 可以看见现在系统的时间状态
timedatectl set-time “2010-08-08 08:00:00” 设置时间,重启仍然生效
set-timezone Asia/Dubai
tzselect 查询时区 查询timezone
NTP 网络时间协议,专门用于和网络进行时间服务同步时间;
Timedatectl set-ntp true 打开ntp功能
NTP使用的服务名 chronyd.service
NTP 服务的配置文件
vim /etc/chrony.conf
sesrver classroom.example.com inbrust
systemctl restart chronyd.service
chronyc source -v 看客户端详细信息
原文地址:http://blog.51cto.com/13584777/2073133