日志的管理
本文共 3444 字,大约阅读时间需要 11 分钟。
企业中的日志管理
环境:提前配置好两台虚拟机的网络 rsyslog###此服务时用来采集系统日志的,他不产生日志,只是起到采集作用 rsyslog的管理:| var/log/messages | 服务信息日志 |
|---|---|
| /var/log/secure | 系统登陆日志 |
| /var/log/cron | 定时任务日志 |
| /var/log/maillog | 邮件日志 |
| /var/log/boot.log | 系统启动日志 |
均为指定日志的采集路径
##日志类型分为:
| auth | pam产生的日志 |
|---|---|
| authpriv | ssh,ftp等登录信息的验证信息 |
| cron | 时间任务相关 |
| kern | 内核 |
| lpr | 打印 |
| 邮件 | |
| mark(syslog)–rsyslog | 服务内部的信息,时间标识 |
| news | 新闻组 |
| user | 用户程序产生的相关信息 |
| uucp | unix to unix copy, unix主机之间相关的通讯 |
| local 1~7 | 自定义的日志设备 |
日志级别分为:
| debug | 有调式信息的,日志信息最多 |
|---|---|
| info | 一般信息的日志,最常用 |
| otice | 最具有重要性的普通条件的信息 |
| warning | 警告级别 |
| err | 错误级别,阻止某个功能或者模块不能正常工作的信息 |
| crit | ##严重级别,阻止整个系统或者整个软件不能正常工作的信息 |
| alert | 需要立刻修改的信息 |
| emerg | 内核崩溃等严重信息 |
| none | 什么都不记录 |
一、日志的定向采集
步骤: 1.提前配置虚拟机的网络
2.打开日志采集规则的文件 vim /etc/rsyslog.conf
*.* /var/log/westos
systemctl restart rsyslog 
测试步骤: 1.生成日志: systemctl restart sshd 2.查看日志: cat /var/log/westos 日志的分类管理*.* 改为日志类型 日志类型 日志级别,存放在指定的文件当中 二、日志远程同步
1.在发送方desktop:- vim /etc/rsyslog.conf 2.在/etc/rsyslog.conf 在这个文件中写入 . @172.25.254.xxx(接受方的ip)
3.重启系统 systemctl restart rsyslog
在日志接收方 server
vim /etc/rsyslog.conf- 将/etc/rsyslog.conf 这个文件中15 16 行 15行 日志接受模块 16行 开启接受模块
3.重启系统 systemctl restart rsyslog
关闭防火墙 systemctl stop firewalld
systemctl disable firewalld
测试:1.在发送方和接收方清空日志文件:
> /var/log/messages
2.在发送方 logger test产生日志 
cat /var/log/messages
3.在日志接受方查看远程主机发送的同步日志:
在server主机:cat /var/log/messages 
4.在发送方主机中清空日志 > /etc/rc.d/rc.local清空重启 reboot 
5.在日志接收方重启系统: systemctl restart rsyslog
systemctl stop firewalld systemctl disable firewalld
6.在日志发送方和接收方都清空历史日志文件
> /var/log/message
产生日志:logger test
cat /var/log/messages
cat /var/log/messages
netstat -antlupe | grep rsyslog 
三、设定日志采集格式 步骤: 1.在接受日志方(server)进行采集 vim /etc/rsyslog.conf在rules下设置日志采集规则编辑 $template WESTOS,"%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n"
*.* /var/log/westos;WESTOS 
重启服务:systemctl restart rsyslog 
2.在日志接收方查看日志格式 cat /var/log/westos 
3.在发送方查看日志格式 
4.在srever端接着设置发送方的日志格式 vim /etc/rsyslog.conf
$ActionFileDefaultTemplate WESTOS(29行)
5.重启服务 6.在发送方查看日志格式是否修改成功 时间同步服务让所有主机时间保持一致:chronyd 步骤:1.在s端 vim /etc/chrony.conf 22行: allow 172.25.254.0/24允许哪些客户端来同步本机时间 
29行:local stratum 10(本机作为时间源,不同步任何主机的时间) 
2.重启:systemctl restart chronyd 3.在d端vim /etc/chrony.conf 编辑:server 172.25.254.xxx(server ip) iburst(删除其他的) 
4.重启: systemctl restart chronyd 
5.测试: 在d端(客户端) 输入 chronyc sources -v若出现* ip说明完成 
6.在两端输入date 命令查看时间是否一致 四、设置系统时间 timedatectl ##管理系统时间 | timedatectl status | 显示当前时间信息 |
|---|---|
| timedatectl set-time | 设定当前时间 |
| set-timezone | 设定当前时区 |
| set-local-rtc 0 | 1 |
timedatectl set-time "2018-08-09 12:00:00“
biso时间初始化为 lundun时间 bios time + timezone(系统时间)| timedatectl | 管理系统时间 |
|---|---|
| Local time | 本地时间 |
| Universal time | 国际时间 |
| RTC time | 硬件时间 |
| Timezone | 时区 |
五、日志采集方式journal 直接从内核存看日志,速度快,重启系统后之前的日志会被情空 journalctl ##日志查看工具 | journalctl -n 3 | 查看最近3条日志 |
|---|---|
| journalctl -p err | 查看错误日志 |
| journalctl -o verbose | 查看日志的详细参数 (举例sshd,重启pid会变,查看原来pid的日志)journalctl _PID=827 _COMM=sshd |
| journalctl --since | 查看从什么时间开始的日志 |
| journalctl --until | 查看到什么时间为止的日志 |
jurnalctl --since “2018-11-11 12:00” --until “2018-11-11 12:01” (查看时间段内的日志)
在硬盘创建一个区域,专门存放journal采集的日志
步骤: 1.创建目录:mkdir /var/log/joural 
2.改变组别: chgrp systemd-journal /var/log/journal
3.改变权限 chmod g+s /var/log/journal
ls -ld /var/log/journal 
5.查看进程: ps aux | grep journal 
6.killall -1 /usr/lib/systemd/systemd-journald (进程重新加载配置,不会关闭进程) 
7.date 命令查看时间 
8.ls /var/log/journal 
9.重启:bootctl 
10.查看日志:journalctl 
转载地址:http://klwki.baihongyu.com/
你可能感兴趣的文章
DB CHNGPGS_THRES 参数
查看>>
DB2 特殊寄存器(Special Registers)
查看>>
在ORDER BY 子句中加入主键或唯一键
查看>>
DB2 UPDATE 语句
查看>>
SQL PL 精萃
查看>>
GROUPING SETS、ROLLUP、CUBE
查看>>
数据类型和变量
查看>>
表连接(JOIN)
查看>>
游标(Cursor)
查看>>
复合语句(compound statement)
查看>>
DB2 物化查询表
查看>>
IF 语句
查看>>
循环语句
查看>>
DB2 临时表
查看>>
ITERATE、LEAVE、GOTO和RETURN
查看>>
异常处理
查看>>
存储过程
查看>>
动态SQL(Dynamic SQL)
查看>>
在存储过程之间传递数据
查看>>
迁移存储过程
查看>>