Linux系統中對日志的管理

首先，這個章節主要是對于日志的采集和管理，對日志進行遠端同步并且進行監控，以保證伺服器的安全。在進行日志管理的開始，為了試驗的順利進行，對虛拟機重新命名進行區分指令如下

hostnamectl set-hostname 主機名.example.com   表示更改主機名稱

1.《日志類型》

auth                   #使用者登入日志（pam産生的日志）

authpriv             #服務産生日志

kern                   #核心日志

cron                  #定時列印任務日志

lpr                     #列印機日志

mail                   #郵件日志

news                   #新聞日志

user                    #使用者相關程式日志

local 1-7              #使用者自定義日志

《日志級别》

debug                 #系統調試資訊

info                     #正常資訊

warning               #警告資訊

err                       #報錯（級别較低，阻止了這個功能能不能正常工作）

crit                       #報錯（級别高，阻止整個軟體或者系統不能正常工作）

alert                     #需要立即修改的資訊

emerg                  #核心崩潰

none                     #不采集任何日志資訊

日志采集格式  

*.*     表示所有類型的所有級别的日志資訊

日志類型.日志級别         檔案名稱

eg:   auth.debug     /var/log/westos      将使用者登入的調試資訊采集到/var/log/westos檔案中

系統常用日志類型

/var/log/messages       所有日志級别的正常資訊（）

/var/log/maillog         郵件日志

/var/log/secure          服務認證日志

vim /etc/rsyslog.conf         更改日志的配置檔案  将服務産生的資訊采集到記憶體裡，儲存在日志檔案

> /var/log/westos            删除日志檔案

修改日志配置檔案，修改完成後，需要重新開機日志服務

2.日志遠端同步

UDP    速度快，不需要對方回應，例如短信  @對方ip位址

TCP     資訊穩定性高，需要對方主機回應，速度較高，速度較慢， @@對方ip位址

具體資訊使用 man 5 rsyslog.conf 進行檢視

w -f    檢視其它使用者登入資訊

 在日志發送方操作：

vim /etc/rsyslog.conf

*.*   @172.25.254.199  （日志接受方位址）

systemctl restart rsyslog

在日志接受方操作：

vim /etc/rsyslog.conf 

15 $Modload imudp

16 $UDPServerRun 514

systemctl restart rsyslog

systemctl stop firewalld (systemctl restart sshd重新開機服務）

systemctl disable firewalld

定義日志采集格式：

vim /etc/log/rsyslog.conf

$templayed 格式名稱（自己設定），“日志采集格式”$

$template 格式名稱，“%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n”

*.info;mail.none;authpriv.none;cron.none            /var/log/messages;格式名稱

注釋：

%timegenerated%           #日志生成時間

%FROMHOST-IP%           #日志來源ip

%syslogtag%                    #日志生成程式

%msg%                            #日志内容

\n                                    #換行

####強調修改完成配置檔案一定需要重新開機服務####

3.檢視日志

journalctl                      #日志檢視工具，直接檢視記憶體中的日志

journalctl -n 3               #檢視最近3行的日志

journalctl -p err             #檢視錯誤日志

journalctl -f 使用者 ctrl c    #結束監控

journalctl -o verbose       #檢視日志詳細參數

journalctl pid=651          #檢視pid參數

journalctl status sshd      #檢視ssh狀态

4.對systemd-journald管理

預設以上程式程式對日志進行檢視，而不對日志進行儲存和采集，那麼關機後對日志進行檢視，隻能檢視到開機後的日志，系統之前的日志因為儲存在記憶體中，是以關機後被清空，是以開機後journalctl檢視不到

如何讓systemd-journaald儲存在硬碟中

mkdir /var/log/journal

chgrp systemd-journal /var/log/journal

chmod g+s /var/log/journal

killall -1 systemd-journald 重新加載服務

 試驗示例：

journal -n 3

date(檢視關機時間）

reboot(退出使用者）

journalctl(重新登入使用者進行日志檢視）

第一張圖是不能檢視關機前的日志，在進行相應操作後，可以對關機前的日志進行檢視，結果示意圖如2圖

5.時間同步

在服務端共享時間

vim /etc/chrony.conf

29行 local stratum 10   開啟時間共享功能并設定共享級别為10

22行 allow 172.25.254.0/24  允許同一網絡區域的用戶端通路本機的共享時間

systemctl restart chronyd

用戶端操作

vim /etc/chronyd.conf

server 172.25.254.108 inburst 

systemctl restart shronyd

chronyd sources -v