日志管理程序:rsyslog
程序包:rsyslog ,端口默认514,加密日志,端口是 6514
配置文件:/etc/rsyslog.conf,/etc/rsyslog.d/.conf 库文件: /lib64/rsyslog/.so
配置文件格式:由三部分组成:
——MODULES:相关模块配置
——GLOBAL DIRECTIVES:全局配置
——RULES:日志记录相关的规则配置
systemctl start rsyslog.service ##加载日志收集
-
/var/log/messages ##清空目录内容
- 实时监控日志 #tail -f /var/log/messages (Ctrl+Z结束)
定义日志采集格式: vim /etc/rsyslog.conf (RULES日志记录相关的规则配置 下面配置)
$template 格式名称,“日志采集格式”
$template xupt,"%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n"
%timegenerated% ##日志生成时间
%FROMHOST-IP% ##日志来源主机的IP
%syslogtag% ##日志生成程序
%msg% ##日志内容
\n ##换行
Systemd 统一管理所有 Unit 的启动日志。日志分析工具journal(内核日志和 应用日志)。
systemd-journald 进程名称
journalctl ##日志查看,直接查看内存中的日志
配置文件 :/etc/systemd/journald.conf
journalctl:在root下运行,默认打印日志。
-n:默认显示最后十条日志。
-n 数字:显示后数字行的日志。
-p 级别名称:显示级别为该级别的日志信息。
-f:实时监控刷新日志。 ctrl+c结束监控
-o verbose:查看日志的详细字段。
XXX:过滤出和XXX 相关的日志信息。
journalctl --since --until 从什么时间到什么时间的日志
默认情况下,systemd日志保存在/run/log/journal中,系统重启时会被清除
-
常见的日志文件:
/var/log/messages ##系统中大部分的信息
/var/log/secure ##系统安装日志,文本格式,应周期性分析
/var/log/cron ##定时任务日志
/var/log/maillog ##邮件日志
/var/log/boot.log ##系统启动日志
/var/log/btmp:当前系统上,用户的失败尝试登录相关的日志信息,二进制格式,lastb命令进行查看
/var/log/wtmp:当前系统上,用户正常登录系统的相关日志 信息,二进制格式,last命令可以查看
/var/log/lastlog:每一个用户最近一次的登录信息,二进制格 式,lastlog命令可以查看
/var/log/dmesg:系统引导过程中的日志信息,文本格式文本,可用查看工具查看或专用命令dmesg查看
/var/log/anaconda : anaconda的日志
2) 日志级别:–man 3 syslog
debug ##有调式信息的,日志信息最多
info ##一般信息的日志,最常用
notice ##最具有重要性的普通条件信息
warning ##警告级别
err ##错误级别,组织某个功能或者模块不能正常工作的信息
crit ##严重级别,组织整个系统或者整个软件不能正常工作的信息
alert ##需要立刻修改的信息
emerg ##内核崩溃等严重信息
none ##什么都不记录
注意:日志级别从上到下,级别从底到高,记录的信息越来越少,
3)日志的类型分为:
auth ##pam产生的日志
authpriv ##ssh,ftp等登陆服务的验证信息
cron ##时间任务相关
kern ##内核
lpr ##打印
mail ##邮件
mark(syslog)-rsyslog ##服务内部的信息,时间标示
news ##新闻组
user ##用户程序产生的相关信息
uucp ##unix to unix copy,unix主机之间相关的通讯
local 1~7 #自定义的日志设备
日志轮替:
logrotate是Linux自带的日志轮替工具,其配置文件路径为/etc/logrotate.conf
语法:vim /etc/logrotate.conf添加日志路径(如/usr/local/apache/logs/access_log) {[options]}即可
daily/weekly/monthly 按天/周/月轮替
rotate 数字,保留日志文件的个数
create mode owner group,新建日志,指定权限,所有者,所属组
size 大小,日志大于指定大小才轮替而不是按照时间
dateext
语法:logrotate [-vf] 配置文件名
无选项 按照配置文件中的条件进行轮替
-v 显示日志轮替过程
-f 强制进行日志轮替
查看日志的工具:tail 、 more 、 less 、 cat 、 who 、 w 、 users 、last 、ac
管理日志的几方面:日志备份和归档 、延长日志保存期限、控制日志访问权限、集中管理日志
1、日志备份和归档
语法:dump [选项] 备份后的文件名 原文件或目录
-level(0-9) 备份级别,0代表完全备份,1-9代表增量备份
-f 文件名,指定备份之后的文件名
-u 备份成功后将备份时间记录在/etc/dumpdates文件中
-v 显示详细信息
-j 将备份文件压缩为.bz2格式
-W 显示被备份的分区的 备份等级及备份时间
例子:dump -0uj -f /root/boot.bak.bz2 /boot/
注意:dump命令只有在备份分区的时候才可以执行增量备份,目录文件只能进行完全备份
语法:restore [-C|i|t|r] [-f]
-C 比较备份数据与实际数据的变化
-i 进入交互模式,手工选择需要恢复的文件
-t 查看模式,查看备份文件中拥有哪些数据
-r 还原模式,用于数据还原
-f 指定备份文件的文件名
注意:C,i,t,r 四种模式不能混用
2、延长日志保存期限
把systemd-journal保存日志到硬盘中
mkdir /var/log/journal
chgrp systemd-journal /var/log/journal
chmod g+s /var/log.journal
killall -1 systemd-journald
journalctl -n 3
reboot
journalctl
3、控制日志访问权限
4、集中管理日志
——————————————————————————————————————————
一、配置日志远程同步(把172.25.0.250的日志同步到172.25.0.11)
1)日志发送方:
vim /etc/rsyslog.conf
. @172.25.0.11 ## @表示udp协议发送 @@表示tcp协议发送
]# systemctl restart rsyslog
2) 日志接收方:
vim /etc/rsyslog.conf
15 $ModLoad imudp ##日志接受模块
16 ¥UDPServerRun 514 ##开启接受端口
关闭防火墙和放开selinux
systemctl restart rsyslog
systemctl stop firewalld
systemctl disable firewalld
3) 测试 :在发送方和接受方都清空日志文件
-
/var/log/messages ##方便查看结果
4)在日志接受方查看
cat /var/log/messages
二、同时在主机上配置时间同步、服务名称:chronyd
1、配置NTP服务 (服务端:172.25.0.250)
vim /etc/chrony.conf
6 server 118.24.4.66 iburst //指定网络的NTP服务IP
22 allow 172.25.0.0/24 //允许同步本机的IP网段
29 local stratum 10 //开启时间共享功能并设定共享级别,这个参数开启后本机不同步别人的时间到本机
]# systemctl restart chronyd
]# chronyc sources -v
^* 118.24.4.66 //出现说明同步成功
]# timedatectl //显示当前时间信息
2、 客户端验证(172.25.0.11):
vim /etc/chrony.conf
server 172.25.0.250 iburst
注意:** NTP enabled 修改为yes时,表示开启自动同步时间,为No时,表示关闭自动同步时间。手动修改时间时,必须把NTP enabled 设置为no.**
]# systemctl restart chronyd
]# chronyc sources -v (时间同步需要等一会时间)
^ 172.25.0.250
]# timedatectl
]# timedatectl --help
选项:set-time ##设定当前时间
set-timezone ##设定当前时区
set-local-rtc 0|1 ##设定是否使用utc时间
set-ntp yes ##表示开启自动同步时间
延迟命令 at at 时间
例子:]# at now+5min
at> touch /mnt/file{1…10}
at> (ctrl+d 结束)
job 1 at Mon May 27 20:18:00 2019 //5分钟之后执行命令
]# cd /mnt/
]# ls
file1 file10 file2 file3 file4 file5 file6 file7 file8 file9
+++++++++++++++++++++++++++++++++++++++++++++++
修改虚拟机时间同步:
安装时间同步插件:#yum install ntpdate
开启时间同步 # systemctl restart ntpdate
与已知时间服务器同步:ntpdate 118.24.4.66
rm -rf /etc/localtime 删除本地时间
ln -s /usr/share/zoneinfo/Asia/Shanghai /etc/localtime 设置时区为上海
修改虚拟机时区
通过tzselect命令来修改时区:
1)执行tzselect命令 --> 选择Asia --> 选择China --> 选择Beijing — 选择yes (输入选项对应的数字)
2)执行完tzselect命令选择时区后,在命令最后提示你可以执行TZ=‘Asia/Shanghai’ ; export TZ。
3)把TZ=‘Asia/Shanghai’ ; export TZ 添加到/etc/profile中
重启机器
4)查看当前时区 #date -R
5)查看当前时间 # date
修改虚拟机硬件时钟:
使用hwclock或clock命令查看和设置硬件时钟:
查看硬件时钟:# hwclock --show 或 # clock --show
设置硬件时钟:# hwclock --set --date=“09/17/2003 13:26:00” 或 # clock --set --date=“09/17/2003 13:26:00”
通用的设置格式:hwclock/clock --set --date=“月/日/年 时:分:秒”。(格式很重要)
设置系统时钟:# date [选项] [MMDDhhmm[[CC]YY][.ss]]
硬件时钟与系统时钟同步:# hwclock --hctosys 或 # clock --hctosys
系统时钟和硬件时钟同步: # hwclock --systohc 或 # clock --systohc
![Linux系统中对日志的管理[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)