本文共 3444 字,大约阅读时间需要 11 分钟。
企业中的日志管理
环境:提前配置好两台虚拟机的网络 rsyslog###此服务时用来采集系统日志的,他不产生日志,只是起到采集作用 rsyslog的管理:var/log/messages | 服务信息日志 |
---|---|
/var/log/secure | 系统登陆日志 |
/var/log/cron | 定时任务日志 |
/var/log/maillog | 邮件日志 |
/var/log/boot.log | 系统启动日志 |
均为指定日志的采集路径
##日志类型分为:
auth | pam产生的日志 |
---|---|
authpriv | ssh,ftp等登录信息的验证信息 |
cron | 时间任务相关 |
kern | 内核 |
lpr | 打印 |
邮件 | |
mark(syslog)–rsyslog | 服务内部的信息,时间标识 |
news | 新闻组 |
user | 用户程序产生的相关信息 |
uucp | unix to unix copy, unix主机之间相关的通讯 |
local 1~7 | 自定义的日志设备 |
日志级别分为:
debug | 有调式信息的,日志信息最多 |
---|---|
info | 一般信息的日志,最常用 |
otice | 最具有重要性的普通条件的信息 |
warning | 警告级别 |
err | 错误级别,阻止某个功能或者模块不能正常工作的信息 |
crit | ##严重级别,阻止整个系统或者整个软件不能正常工作的信息 |
alert | 需要立刻修改的信息 |
emerg | 内核崩溃等严重信息 |
none | 什么都不记录 |
一、日志的定向采集
步骤: 1.提前配置虚拟机的网络 2.打开日志采集规则的文件vim /etc/rsyslog.conf3.在日志采集文件里设置将任意类型、任何级别的日志存放于/var/log/westos设置为
*.* /var/log/westos3.重启系统服务:
systemctl restart rsyslog
测试步骤: 1.生成日志: systemctl restart sshd 2.查看日志: cat /var/log/westos 日志的分类管理*.* 改为日志类型 日志类型 日志级别,存放在指定的文件当中 二、日志远程同步
1.在发送方desktop:3.重启系统 systemctl restart rsyslog
在日志接收方 server
vim /etc/rsyslog.conf
systemctl restart rsyslog
关闭防火墙 systemctl stop firewalld
systemctl disable firewalld
测试:1.在发送方和接收方清空日志文件:
> /var/log/messages2.在发送方
logger test
产生日志 cat /var/log/messages
3.在日志接受方查看远程主机发送的同步日志:
在server主机:cat /var/log/messages
4.在发送方主机中清空日志 > /etc/rc.d/rc.local
清空重启 reboot
5.在日志接收方重启系统: systemctl restart rsyslog关闭防火墙
systemctl stop firewalld
systemctl disable firewalld
6.在日志发送方和接收方都清空历史日志文件
> /var/log/message
产生日志:logger test
cat /var/log/messages7.在日志接收方查看远程同步日志
cat /var/log/messages远程监控同步 watch -n 1 tail -f /var/log/messages 查看接口配置
netstat -antlupe | grep rsyslog
三、设定日志采集格式 步骤: 1.在接受日志方(server)进行采集 vim /etc/rsyslog.conf
在rules下设置日志采集规则编辑 $template WESTOS,"%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n"%timegenerated% ##显示日志时间 %FROMHOST-IP% ##显示主机ip %syslogtag% ##日志记录目标 %msg% ##日志内容\n ##换行 在下面写
*.* /var/log/westos;WESTOS
重启服务:systemctl restart rsyslog
2.在日志接收方查看日志格式 cat /var/log/westos 3.在发送方查看日志格式 4.在srever端接着设置发送方的日志格式 vim /etc/rsyslog.conf
$ActionFileDefaultTemplate WESTOS
(29行)
vim /etc/chrony.conf
22行: allow 172.25.254.0/24允许哪些客户端来同步本机时间 29行:local stratum 10
(本机作为时间源,不同步任何主机的时间) 2.重启:systemctl restart chronyd
3.在d端vim /etc/chrony.conf
编辑:server 172.25.254.xxx(server ip) iburst
(删除其他的) 4.重启: systemctl restart chronyd 5.测试: 在d端(客户端) 输入 chronyc sources -v
若出现* ip说明完成 6.在两端输入date 命令查看时间是否一致 四、设置系统时间 timedatectl ##管理系统时间 timedatectl status | 显示当前时间信息 |
---|---|
timedatectl set-time | 设定当前时间 |
set-timezone | 设定当前时区 |
set-local-rtc 0 | 1 |
timedatectl set-time "2018-08-09 12:00:00“
biso时间初始化为 lundun时间 bios time + timezone(系统时间)timedatectl | 管理系统时间 |
---|---|
Local time | 本地时间 |
Universal time | 国际时间 |
RTC time | 硬件时间 |
Timezone | 时区 |
journalctl -n 3 | 查看最近3条日志 |
---|---|
journalctl -p err | 查看错误日志 |
journalctl -o verbose | 查看日志的详细参数 (举例sshd,重启pid会变,查看原来pid的日志)journalctl _PID=827 _COMM=sshd |
journalctl --since | 查看从什么时间开始的日志 |
journalctl --until | 查看到什么时间为止的日志 |
jurnalctl --since “2018-11-11 12:00” --until “2018-11-11 12:01” (查看时间段内的日志)
在硬盘创建一个区域,专门存放journal采集的日志
步骤: 1.创建目录:mkdir /var/log/joural
2.改变组别: chgrp systemd-journal /var/log/journal
3.改变权限 chmod g+s /var/log/journal
ls -ld /var/log/journal
5.查看进程: ps aux | grep journal
6.killall -1 /usr/lib/systemd/systemd-journald
(进程重新加载配置,不会关闭进程) 7.date
命令查看时间 8.ls /var/log/journal
9.重启:bootctl
10.查看日志:journalctl
转载地址:http://klwki.baihongyu.com/