Linux基础——日志、日志远程同步、journalctl 命令、服务端客户端时间同步、

1、        *.*                     文件名称

日志类型.日志级别        日志存放文件

日志类型

auth                     #用户登陆日志（pam产生日志）
authpriv               #服务认证日志（sshd认证）
kern                     #内核日志
cron                     #定时任务日志
lpr                        #打印机日志
mail                     #邮件日志
news                   #新闻
user                     #用户相关程序日志
local 1-7              #用户自定义日志

日志级别
debug                  #系统调试信息
info                       #常规信息
warning                #警告信息
err                        #报错（级别低，阻止了某个功能不能正常工作）
crit                        #报错（级别高，阻止了整个软件或整个系统不能正常工作）
alert                      #需要立即修改的信息
emerg                  #内核崩溃
none                     #不采集任何日志信息

auth.debug           /var/log/westos
auth.*
*.*                          /var/log/log.all

清空日志：  > /var/log/messages
如果上个命令无法清空日志，则再输入这个：   > /etc/rc.d/rc.local

系统常用日志
/var/log/messages           #所有日志级别的常规信息（不包含邮件，服务认证，>定时任务）
/var/log/maillog               #邮件日志
/var/log/secure                #服务认证日志
/var/log/cron                   #定时任务日志

例：清空日志，查看日志：

2、日志远程同步

在日志发送方
vim    /etc/rsyslog.conf
*.*                   @172.25.254.161  #日志接收方地址

在日志接收方
vim    /etc/rsyslog.conf
15      $ModLoad imudp
16      $UDPServerRun 514

systemctl    restart    rsyslog
systemctl    stop        firewalld
systemctl    disable   firewalld

例：node1为日志接收方，node2为日志发送方

在node1 编辑  vim  /etc/rsyslog.conf  ，  将15、16行的#去掉

编辑完后保存，重启服务，关掉防火墙，并设置防火墙下次开机恢复：

node2中同样编辑 vim  /etc/rsyslog.conf ，设置将一切日志传至 node1：

编辑完后重启服务：

在node1中查看日志可以看到node2的日志：

3、vim /etc/rsyslog.conf
$template 格式名称，"日志采集格式"
*.info;mail.none;authpriv.none;cron.none    /var/log/message;格式名称

例：$template westos,"%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n"
%timegenerated%         #日志生成时间
%FROMHOST-IP%         #日志来源主机的IP
%syslogtag%                 #日志生成程序
%msg%                         #日志内容
\n                                  #换行
*.info；mail.none；authpriv.none;cron.none     /var/log/messages;westos

查看：less /var/log/messages  q退出

例：编辑vim   /etc/rsyslog.conf ：

重启服务并查看日志：

4、journalctl

journalctl   -n  3                             #最新的3行日志
journalctl   -p  err                           #错误信息
journalctl   -f                                  #日志监控
journalctl   --since   --until             #具体到时间的日志
journalctl   -o  verbose                  #查看日志详细参数 _PID=651  journalctl _PID=651

对systemd-journald管理
默认此程序只负责对日志进行查看而不对日志进行保存和采集
那么关机后在开机，对日志进行查看，只能查看到开机后的日志，系统之前的日志因为是保存在内存中的，所以关机后就被清空了，那么在开机后是用journalctl看不到的

如何让systemd-journald保存日志到硬盘中
mkdir     /var/log/journal
chgrp     systemd-journal     /var/log/journal
chmod   g+s /var/log/journal
killall      -1   systemd-journald

journalctl    -n   3
date
reboot

journalctl

例：

查看日志：

日志监控：

查看ID：

查看日志详细参数并寻找ID：

5、时间同步
在服务器端共享时间
vim  /etc/chrony.conf
29   local   stratum  10                    #开启时间共享功能并设定共享级别
                                                      #这个参数开启后本机不去同步别人的时间到本机
22   allow  172.25.254.0/24              #允许那些客户端来访问本机共享的时间

systemctl   restart   chronyd

在客户端：
vim   /etc/chrony.conf
server  172.25.254.161 iburst

systemctl   restart   chronyd

chronyc   sources   -v                    

注：*则代表同步成功
服务端防火墙要关闭
客户端可关可不关

例：vim  /etc/chrony.conf：

重启服务：

vim  /etc/chrony.conf：

重启服务并查看：