日志管理

1.rsyslogd 服務

##服務功能##

這個服務是用來管理系統日志的程序

/var/log/messages   ##系統正常資訊

/var/log/secure    ##認證失敗資訊

/var/log/maillog    ##郵件服務

/var/log/cron    ##與時鐘有關的服務

/var/log/boot.log  ##啟動資訊

##示例##

關閉rsyslogd服務，将/etc/ssh/sshd_config改錯，看是否報錯

重新開機sshd服務，開啟rsyslogd服務

發現有ssh報錯的顯示

##服務配置檔案##

/etc/rsyslog.conf

##服務配置##

vim /etc/rsyslog.conf

service.loglevel    logfile

*.*               /var/log/all.log    ##所有服務的所有日志都放到/var/log/all.log中

之後無論什麼級别的資訊都會在/var/log/westos中有顯示

##日志同步##

（1）在日志接收方

$ModLoad imudp    ##加載日志接收功能子產品

$UDPServerRun 514    ##加載日志接收接口

（2）在日志發送方

*.*@日志接收方ip    ##*(所有服務).*(所有級别)都發發給日志接受方

（3）做完配置都重新開機rsyslogd服務

     接收方關閉火牆     systemctl stop firewalld

日志發送方

日志接收方

此時防火牆已關，沒有關的話，用systemctl stop firewalld将它關閉

然後我們将兩方的日志都清空，在發送方重新開機ssh服務，可以看到接收方的日志檔案有了重新開機ssh服務的資訊

發送方

接收方

2.日志分析

systemd-journald    ##日志分析程序

journalctl    ##日志分析指令

journalctl -n  5    ##檢視最近生成的5條日志

journalctl -p err    ##檢視系統報錯

journalctl   -f    ##監控日志變化

journalctl  -o    verbose

##檢視日志能夠使用的條件參數(檢視同一程序日志的詳細資訊的參數)   

journalctl_UID=    ##程序uid

_PID=    ##程序id

_GID=    ##程序gid

_HOSTNAME=    ##程序所在主機

_SYSTEMD_UNIT=    ##服務名稱

_COMM=    ##指令名稱

journalctl --since --until     ##檢視某個時間段生成的日志

例：從10.56到12點産生的日志

journalctl --since "[年-月-日]10：56：00"  --until "[年-月-日] 12：00：00" 

日志分析程序

可以看到日志的顯示

##日志監控工具的設定##

預設情況下journalctl是無法看到關機之間産生的日志的

如果想檢測到這類日志設定如下（小心把磁盤用滿，慎重！！）

[root@serverX ~]#mkdir /var/log/journal

[root@serverX ~]#chown root:systemd-journal /var/log/journal

[root@serverX ~]#chmod 2755 /var/log/journal

Send the USR1 signal to the systemd-journald or reboot serverX.

[root@serverX ~]#killall -USR1 systemd-journald

[root@serverX ~]#ls /var/log/journal/4513ad59a3b442ffa4b7ea88343fa55f

system.journal user-1000.journal

##實驗過程##

3.同步系統時間

(1)确定時間源位址

例：172.25.254.254

(2)确定客戶主機使用的時間同步服務

chronyd.service

(3)在chronyd.service服務中加載時間源位址

vim /etc/chrony.conf

server172.25.254.254 iburst

systemctl restart chronyd.service

##同步系統時間過程##

同步的目标主機（要同步此主機時間）

（1）編輯/etc/chrony.conf檔案，修改23行和30行

（2）重新開機chronyd.service

要同步時間的主機（本機）

（1）chrony source -v 可以看到現在同步的情況

（2）編輯/etc/chrony.conf檔案，修改3行

（3）重新開機chronyd.service

已經可以看到時間已經改變（原來是8點多，對，現在是淩晨1點），有時候改變的沒這麼快，因為可以看到上面的時間（那是多久改變一次的意思（大概是吧？）），是以它是每10秒更新一次（大概是吧？），是以如果不變，可以等待一會兒

4.timedatectl指令

timedatectl list-timezones    ##列出時區

timedatectl set-timezone 時區    ##設定時區

timedatectl set-time HH：mm：ss    ##設定系統時間