系统日志
1.系统日志默认分类
/var/log/messages ##系统服务及日志,包括服务的信息,报错等等
/var/log/secure ##系统认证信息日志
/var/log/maillog ##系统邮件服务信息
/var/log/cron ##系统定时任务信息
/var/log/boot.log ##系统启动信息
2.日志管理服务rsyslog
1)rsyslog负责采集日志和分类存放日志
2)rsyslog日志分类
vim /etc/rsyslog.conf #主配置文件
服务.日志级别#存放文件
*.*/var/log/westos
systemctl restart rsyslog
3.格式
日志设备(类型).(连接符号)日志级别 日志处理方式(action)
4.日志设备(可以理解为日志类型)
auth #pam产生的日志
authpriv #ssh,ftp等登陆信息的验证信息
cron #时间任务相关
kern #内核
lpr #打印
mail #邮件
mark(syslog)-rsyslog #服务内部的信息,时间标识
news #新闻组
user #用户程序产生的相关信息
uucp #unix to unix copy,unix主机之间的通讯
local 1~7 #自定义的日志设备
5.日志级别
debug #有调式信息的,日志信息最多
info #一般信息的日志,最常用
notic #除info外的一些要注意的信息
warn #警示信息
err #重大错误信息
crit #比err更严重的错误信息
alert #警告,比crit严重
emerg #最严重的错误信息
6.实例
*.* /var/log/file.log #绝对路径
*.* /dev/pts/0
发送给用户(需要在线才能收到)
*.* root
*.* root,kadefor,up01 #使用,号分隔多个用户
*.* * #*号表示所有在线用户
忽略,丢弃
local3.* ~ #忽略所有local3类型的所有级别日志
执行脚本
local3.^/tmp/a.sh #^号后跟可执行脚本或程序的绝对路径
#日志内容可以作为脚本的第一个参数。
#可用来触发报警
7.日志同步
systectl stop firewalld #关闭两台主机的防火墙
配置日志发送方
*.*172.25.0.11 #通过udp协议把日志发送到11主机,@udp,@@tcp
配置日志接收方
15 $ModLoad imudp #日志接收插件
16 $UDPServerRunq 514 #日志接收插件使用端口
netstat -anulpe | grep rsyslog
> /var/log/messages #两边都作
ogger test messagees #日志发送方
tail -f /var/log/messages #日志接收方
8.日志采集格式
45 $template WESTOS, “%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n”
46 $ActionfileDefaultTemplate WESTOS
9.日志分析
systemd-journald ###日志分析进程
journalctl ###直接执行,浏览系统日志
journalctl -n 5 ##查看最近生成的5条日志
journalctl -p err ##查看系统报错
journalctl --since --until ###查看某个时间段生成的日志
journalctl -o verbose ###查看日志能够使用的条件参数
journalctl_UID= ##进程uid
_PID= ##进程id
_GID= ##进程gid
_HOSTNAME= ##进程所在主机
_SYSTEMD_UNIT= ##服务名称
_COMM= ##命令名称
对systemd-journalctl管理
##默认情况下此程序会忽略重启前的日志信息,如不忽略:
mkdir /var/log/journalctl
chown root:systemd-journal /var/log/journal
10.日志监控工具的设定
默认情况下journalctl是无法看到关机之间产生的日志的
如果向检测到这类日志设置如下
[root@serverX ~]#mkdir /var/log/journal
[root@serverX ~]#chown root:systemd-journal /var/log/journal
[root@serverX ~]#chmod 2755 /var/log/journal
Send the USR1 signal to the systemd-journald or reboot serverX.
[root@serverX ~]#killall -USR1 systemd-journald
[root@serverX ~]#ls /var/log/journal/4513ad59a3b442ffa4b7ea88343fa55f
system.journal user-1000.journal
11.如何同步系统时间
1.确定时间源地址
172.25.254.254
2.确定客户主机使用的时间同步服务
chronyd.service
3.在chronyd.service服务中加载时间源地址
vim /etc/chrony.conf
server172.25.254.254 iburst
systemctl restart chronyd.service
12.timedatectl
timedatectl list-timezones##列出时区
timedatectl set-timezone 时区##设定时区
timedatectl set-time HH:mm:ss##设定系统时间
本文出自 “12110289” 博客,谢绝转载!
原文地址:http://12120289.blog.51cto.com/12110289/1863588