Linux系统中对日志的管理

首先，这个章节主要是对于日志的采集和管理，对日志进行远程同步并且进行监控，以保证服务器的安全。在进行日志管理的开始，为了试验的顺利进行，对虚拟机重新命名进行区分命令如下

hostnamectl set-hostname 主机名.example.com   表示更改主机名称

1.《日志类型》

auth                   #用户登录日志（pam产生的日志）

authpriv             #服务产生日志

kern                   #内核日志

cron                  #定时打印任务日志

lpr                     #打印机日志

mail                   #邮件日志

news                   #新闻日志

user                    #用户相关程序日志

local 1-7              #用户自定义日志

《日志级别》

debug                 #系统调试信息

info                     #常规信息

warning               #警告信息

err                       #报错（级别较低，阻止了这个功能能不能正常工作）

crit                       #报错（级别高，阻止整个软件或者系统不能正常工作）

alert                     #需要立即修改的信息

emerg                  #内核崩溃

none                     #不采集任何日志信息

日志采集格式  

*.*     表示所有类型的所有级别的日志信息

日志类型.日志级别         文件名称

eg:   auth.debug     /var/log/westos      将用户登录的调试信息采集到/var/log/westos文件中

系统常用日志类型

/var/log/messages       所有日志级别的常规信息（）

/var/log/maillog         邮件日志

/var/log/secure          服务认证日志

vim /etc/rsyslog.conf         更改日志的配置文件  将服务产生的信息采集到内存里，保存在日志文件

> /var/log/westos            删除日志文件

修改日志配置文件，修改完成后，需要重启日志服务

2.日志远程同步

UDP    速度快，不需要对方回应，例如短信  @对方ip地址

TCP     信息稳定性高，需要对方主机回应，速度较高，速度较慢， @@对方ip地址

具体信息使用 man 5 rsyslog.conf 进行查看

w -f    查看其它用户登录信息

 在日志发送方操作：

vim /etc/rsyslog.conf

*.*   @172.25.254.199  （日志接受方地址）

systemctl restart rsyslog

在日志接受方操作：

vim /etc/rsyslog.conf 

15 $Modload imudp

16 $UDPServerRun 514

systemctl restart rsyslog

systemctl stop firewalld (systemctl restart sshd重启服务）

systemctl disable firewalld

定义日志采集格式：

vim /etc/log/rsyslog.conf

$templayed 格式名称（自己设定），“日志采集格式”$

$template 格式名称，“%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n”

*.info;mail.none;authpriv.none;cron.none            /var/log/messages;格式名称

注释：

%timegenerated%           #日志生成时间

%FROMHOST-IP%           #日志来源ip

%syslogtag%                    #日志生成程序

%msg%                            #日志内容

\n                                    #换行

####强调修改完成配置文件一定需要重启服务####

3.查看日志

journalctl                      #日志查看工具，直接查看内存中的日志

journalctl -n 3               #查看最近3行的日志

journalctl -p err             #查看错误日志

journalctl -f 用户 ctrl c    #结束监控

journalctl -o verbose       #查看日志详细参数

journalctl pid=651          #查看pid参数

journalctl status sshd      #查看ssh状态

4.对systemd-journald管理

默认以上程序程序对日志进行查看，而不对日志进行保存和采集，那么关机后对日志进行查看，只能查看到开机后的日志，系统之前的日志因为保存在内存中，所以关机后被清空，所以开机后journalctl查看不到

如何让systemd-journaald保存在硬盘中

mkdir /var/log/journal

chgrp systemd-journal /var/log/journal

chmod g+s /var/log/journal

killall -1 systemd-journald 重新加载服务

 试验示例：

journal -n 3

date(查看关机时间）

reboot(退出用户）

journalctl(重新登录用户进行日志查看）

第一张图是不能查看关机前的日志，在进行相应操作后，可以对关机前的日志进行查看，结果示意图如2图

5.时间同步

在服务端共享时间

vim /etc/chrony.conf

29行 local stratum 10   开启时间共享功能并设定共享级别为10

22行 allow 172.25.254.0/24  允许同一网络区域的客户端访问本机的共享时间

systemctl restart chronyd

客户端操作

vim /etc/chronyd.conf

server 172.25.254.108 inburst 

systemctl restart shronyd

chronyd sources -v