一.日至源
日至由程序生成并存储在记忆棒中
1、查看日志
清空/nar/log/messages ##目录的内容
查看cat /傲慢巨人/log/messages ##日志
systemctlstartrsyslog.service # #加载日志收集
/傲慢的巨人/log/secure ##系统登录
/傲慢的巨人/log/cron ##定时任务日志
/傲慢的巨人/log/maillog ##邮件日志
/傲慢的巨人/log/boot.log ##系统启动日志
2、日志类型分为:种
由auth ##pam生成的日志
authpriv ##ssh、ftp等登录服务的认证信息
cron ##时间任务相关
kern ##内核
lpr ##打印
电子邮件
标记(syslog )-rsyslog ##服务器内部的信息、时间标记
新闻组# #
基于user ##用户程序的相关信息
uucp ##unix to unix copy,unix主机之间的相关通信
local 1~7 #自定义日志设备
3、日志级别如下。
调试# #的日志信息最多
info ##一般信息日志,最常用
notice ##是最重要的一般条件信息
警告等级
err ##整理错误级别、某个功能或模块无法正常工作的信息
crit ##组织严重级别、整个系统或整个软件无法正常工作的信息
alert ##需要立即修改的信息
emerg ##内核崩溃等严重信息
none ##什么都不记录
注:日志级别从上到下,级别从下到上,记录的信息越来越少。 --man 3 syslog
二.日志同步
发送侧
1、修改发送方式vim /etc/rsyslog.conf
发送方式有两种TCP和UDP,一个@符号表示发送方式为UDP,两个@@符号表示发送TCP
2、重新启动服务systemctlrestartrsyslog.service
3、写日志的日志生成器hello
接收侧
1、关闭防火墙系统停止防火墙d
2、修改接收方式vim /etc/rsyslog.conf
发送方式为UDP时,修改15行和16行显示行号。 set nu
发送TCP时,将修改第19行和第20行
3、重新启动服务systemctlrestartrsyslog.service
4、看结果
请清空日志文件后再进行确认
/傲慢的巨人/log/messages
cat /傲慢大师
人/log/messages5、实时监控日志
tail -f /冷傲的巨人/log/messages
三、日志采集格式
接收方
vim /etc/rsyslog.conf
行添加:$template WESTOS,"%timegenerated% %FROMHOST-IP% %syslogtag% %msg%n"
%timegenerated% ##显示日志时间
%FROMHOST-IP% ##显示主机ip
%syslogtag% ##日志记录目标
%msg% ##日志内容
n ##换行
54行输出添加: /冷傲的巨人/log/messages;WESTOS
然后重起服务 systemctl restart rsyslog.service
查看效果
四、时间同步服务
服务端:
1、修改参数 vim /etc/chron.conf
2、重起服务 systemctl restart chrony.service
3、date ##查看当前时间
修改部分 22行改服务地址 29行启用
客户端:
1、修改参数 ##vim /etc/chrony.conf
2、重起服务 ##systemctl restart chronyd.service
3、查看时间 ##date
4、查看同步来源 chronyc sources -V
改到同步的服务器地址
五、设置系统时间
timedatectl ##查看系统时区
timedatectl list-timezones ##查看全部时区
timedatectl set-timezone Asis/Shanghai ##设定时区为上海
timedatectl set-local-rtc 1 ##系统时间改为硬件时间 RTC->local time
timedatectl set-local-rtc o ##硬件时间同步约定时间 RTC->universal time
六、查看内存日志
journalctl ##查看全部
journalctl -n 3 ##查看最新3条
journalctl --since 19:00 --until 19:10:10 #查看起始时间到结束时间的日志可加日期
journalctl -p err ##报错日志
journalctl -o verbose ##日志详细内容
journalctl _PID=1245 _COMM=sshd ##查看包含这些参数的日志(在详细日志查看)
journalctl
systemctl status sshd ##打开进程
systemctl restart sshd.service ##重起进程
reboot ##重起以前的日志丢失(存在内存 断电清空)
七、让系统采集 journal信息
1、建立journal文件 ##mkdir /冷傲的巨人/log/journal
2、添加组成员 ##chgrp systemd-journal /冷傲的巨人/log/journal/ 组是自动创建的
3、设置任何文件都属于组 ##chmod g+s /冷傲的巨人/log/journal
4、查看进程PID ##ps aux | grep systemd-journal
5、不断电重起进程 kill -1 352
默认情况下,systemd日志保存在/run/log/journal中,系统重启时会被清除
如果将日志保存在/冷傲的巨人/log/journal目录,启动后就可以利用历史数据,形成永久日志
查看重起前的日志存放 bootctl ##查看硬件地址