1.日志采集规则
authpriv 服务认证日志(sshd认证)
kern 内核日志
cron 定时任务日志
lpr 打印机日志
mail 邮件日志
news 新闻
user 用户相关程序日志
local 1-7 用户自定义日志
* . *
日志类型.日志级别 日志存放文件
日志级别
debug 系统调试信息
info 常规信息
warning 警告信息
error 报错(低级),阻止了某个功能不能正常工作
crit 报错(高级),阻止整个软件或整个系统不能正常工作
alert 需要立即修改
emerg 内核崩溃
none 不采集任何日志信息
例
auth.debug /var/log/westos 用户的系统调试信息放在westos中
3.系统常用日志
/var/log/messages 所有日志级别的常规信息(不包含邮件,服务认证,定时任务)
/var/log/mail 邮件日志
/var/log/secure 定时任务日志
cat /var/log/messages 查看日志信息
> /var/lg/messages 清空日志信息
4.日志的远程同步
在日志发送方
vim /etc/rsyslogconf
*.* @172.25.254.100 日志接受方的地址
vim /etc/rsyslog.conf
15 $ModLoad imudp
16 $UDPServerRun 514
systemctl restart rsyslog 重启rsyslog服务
systemctl stop firewalld 关闭防火墙
systemctl disable firewalld关闭防火墙
3. 定义日志采集格式
vim /etc/rsyslog.conf
$template 名称,“日志采集格式”
$template westos,"%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n"
%timegenerated% 日志生成时间
%FROMHOST-IP% 日志来源主机的IP
%syslogtag% 日志生成程序
%msg% 日志内容
\n 换行
*.info;mail.none;authpriv.none;cton.none
日志查看工具 journalctl
企业7以后的版本才有
journalctl 只能分析本机
journalctl -n 5 最新的5行
journalctl -p err 报错
journalctl -f 对日志实时监控 ctrl c 退出
journalctl --since 01:30 之后的
journalctl -o verbose 查看日志详细参数_PID=651 journalctl _PID=651
对systemd-journald管理
默认此程序只负责对日志进行查看而不对日志进行保存和采集
那么关机后再开机,对日志进行查看,只能查看到开机后的日志,系统
之前的日志因为是保存在内存中,所以关机后被清空了,
那么在开机是用journalctl看不到的
如何保存 systemd-journald保存日志到硬盘中
mkdir /var/log/journal 建立保存目录
chgrp systemd-journald /var/log/journal 给予文件权限
chmod g+s /var/log/journal
killall -1 对 systemd-journald 进行刷新
后用journalctl 看
date 看时间
reboot 重启
journalctl 看是否保存
时间同步
在服务器端共享时间
vim /etc/chrony.conf 29行开启时间共享功能并设定共享级别,
此参数开启后本纪不去同步别人的时间
22行 allow 172.25.254.0/24
允许那些客户端来访问本机sysremctl restart chronyd
在客户端:
vim /etc/chrony.conf
server 172.25.254.100 iburst 第三行
systemctl restart chronyd
chronyc sources -v 查看同步信息
时间修改
timedatectl
timedatectl list-timezones 列出本机含有的时间区域
timedatectl set-tmezone Asia/Shanghai
timedatectl
date
timedatectl set-local-rtc 0
vim /etc/adjtime
timedatectl set-time "2018-11-11 11:11:11"
date
定时任务
延时任务
at -l
at now+5min
at 16:00
>touch /mnt/file{1..10}
ctrl d 开始
at -c 3 查看任务
at -r 3 取消任务
at命令的黑白名单
vim /etc/at.deny添加黑名单用户
vim /etc/at.allow添加白名单用户
vim /etc/rsyslog.conf 打开系统的配置rsyslog文件
*.* /var/log/westos 把所有生成的日志放在westos文件下
systemctl restart rsyslog.service 重启rsyslog,就会收集到所有软件的所有级别的日志信息
cat /var/log/messages 可以查看日志生成的位置
> /var/logmessages 清空日志
2.日志类型
auth 用户登录日志(pam产生的日志)authpriv 服务认证日志(sshd认证)
kern 内核日志
cron 定时任务日志
lpr 打印机日志
mail 邮件日志
news 新闻
user 用户相关程序日志
local 1-7 用户自定义日志
* . *
日志类型.日志级别 日志存放文件
日志级别
debug 系统调试信息
info 常规信息
warning 警告信息
error 报错(低级),阻止了某个功能不能正常工作
crit 报错(高级),阻止整个软件或整个系统不能正常工作
alert 需要立即修改
emerg 内核崩溃
none 不采集任何日志信息
例
auth.debug /var/log/westos 用户的系统调试信息放在westos中
3.系统常用日志
/var/log/messages 所有日志级别的常规信息(不包含邮件,服务认证,定时任务)
/var/log/mail 邮件日志
/var/log/secure 定时任务日志
cat /var/log/messages 查看日志信息
> /var/lg/messages 清空日志信息
4.日志的远程同步
在日志发送方
vim /etc/rsyslogconf
*.* @172.25.254.100 日志接受方的地址
vim /etc/rsyslog.conf
15 $ModLoad imudp
16 $UDPServerRun 514
systemctl restart rsyslog 重启rsyslog服务
systemctl stop firewalld 关闭防火墙
systemctl disable firewalld关闭防火墙
3. 定义日志采集格式
vim /etc/rsyslog.conf
$template 名称,“日志采集格式”
$template westos,"%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n"
%timegenerated% 日志生成时间
%FROMHOST-IP% 日志来源主机的IP
%syslogtag% 日志生成程序
%msg% 日志内容
\n 换行
*.info;mail.none;authpriv.none;cton.none
日志查看工具 journalctl
企业7以后的版本才有
journalctl 只能分析本机
journalctl -n 5 最新的5行
journalctl -p err 报错
journalctl -f 对日志实时监控 ctrl c 退出
journalctl --since 01:30 之后的
journalctl -o verbose 查看日志详细参数_PID=651 journalctl _PID=651
对systemd-journald管理
默认此程序只负责对日志进行查看而不对日志进行保存和采集
那么关机后再开机,对日志进行查看,只能查看到开机后的日志,系统
之前的日志因为是保存在内存中,所以关机后被清空了,
那么在开机是用journalctl看不到的
如何保存 systemd-journald保存日志到硬盘中
mkdir /var/log/journal 建立保存目录
chgrp systemd-journald /var/log/journal 给予文件权限
chmod g+s /var/log/journal
killall -1 对 systemd-journald 进行刷新
后用journalctl 看
date 看时间
reboot 重启
journalctl 看是否保存
时间同步
在服务器端共享时间
vim /etc/chrony.conf 29行开启时间共享功能并设定共享级别,
此参数开启后本纪不去同步别人的时间
22行 allow 172.25.254.0/24
允许那些客户端来访问本机sysremctl restart chronyd
在客户端:
vim /etc/chrony.conf
server 172.25.254.100 iburst 第三行
systemctl restart chronyd
chronyc sources -v 查看同步信息
时间修改
timedatectl
timedatectl list-timezones 列出本机含有的时间区域
timedatectl set-tmezone Asia/Shanghai
timedatectl
date
timedatectl set-local-rtc 0
vim /etc/adjtime
timedatectl set-time "2018-11-11 11:11:11"
date
定时任务
延时任务
at -l
at now+5min
at 16:00
>touch /mnt/file{1..10}
ctrl d 开始
at -c 3 查看任务
at -r 3 取消任务
at命令的黑白名单
vim /etc/at.deny添加黑名单用户
vim /etc/at.allow添加白名单用户