标签:目录 开始 kill 登录 类型 启动 软件 log -o
linux日志是非常重要的,不仅在日常操作中可以迅速排错,也可以快速的定位/var/log/messages ---> 服务信息日志
内核及公共信息日志,是许多进程日志文件的汇总
/var/log/secure ---> 系统登陆日志
记录用户和工作组的情况、用户登陆认证情况
/var/log/cron ---> 定时任务日志
记录一次性、周期性定时任务
/var/log/maillog ---> 邮件日志
记录邮件的收发
/var/log/boot.log ---> 系统启动日志
该文件记录了系统在引导过程中发生的事件
实验具体操作
/var/log/messages默认有日志,关闭日志采集功能,清空日志,开启日志服务功能,产生日志
rsyslog 日志管理服务
此服务是只是用来采集系统日志的,不产生日志
配置文件 ---> /etc/rsyslog.conf (日志采集规则在此设置)
指定日志采集路径,什么类型的日志.什么级别的日志
vim编辑 /etc/rsyslog.conf配置文件,添加日志路径/var/log/test文件为日志采集文件
查看/var/log/test倒数2行,新增日志
*.* ---- 存放日志文件
第一个*代表日志类型,第二个*代表日志级别
日志类型分为:
auth ---> pam产生的日志
authpriv ---> ssh,ftp等登录信息的验证信息
cron ---> 时间任务相关
kern ---> 内核
lpr ---> 打印
mail ---> 邮件
mark(syslog)–rsyslog ---> 服务内部的信息,时间标识
news ---> 新闻组
user ---> 用户程序产生的相关信息
uucp ---> unix to unix copy, unix主机之间相关的通讯
local 1~7 ---> 自定义的日志设备
日志级别分为:
debug ---> 有调式信息的,日志信息最多
info ---> 般信息的日志,最常用
notice ---> 最具有重要性的普通条件的信息
warning ---> 警告级别
err ---> 错误级别,阻止某个功能或者模块不能正常工作的信息
crit ---> 严重级别,阻止整个系统或者整个软件不能正常工作的信息
alert ---> 需要立刻修改的信息
emerg ---> 内核崩溃等严重信息
none ---> 什么都不记录
注:从上到下,级别从低到高,记录的信息越来越少
详细查看手册 ---> man 3 syslog
日志的远程同步
在日志发送方:
vim编辑 /etc/rsyslog.conf配置文件
书写格式. @172.25.254.200
注 ---> "@"表示udp协议发送,"@@"表示tcp协议发送
重启日志采集服务
清空日志并查看日志倒数2行,日志写入测试
在日志接收方:
vim编辑 /etc/rsyslog.conf配置文件
取消注释15和16行内容
15 $ModLoad imudp ---> 日志接收模块
16 $UDPServerRun 514 ---> 开启接收端口
systemctl restart rsyslog ---> 重启日志采集服务
systemctl stop firewalld ---> 关闭火墙
systemctl disable firewalld ---> 设定火墙开机关闭
清空日志文件,查看日志已经生成
日志采集格式的设置
$ActionFileDefaultTemplate ---> 全局引用命名的格式
$template TEST ---> 日志格式命名
%timegenerated% ---> 显示日志时间
%FROMHOST-IP% ---> 显示主机ip
%syslogtag% ---> 日志记录目标
%msg% ---> 日志内容
\n ---> 换行
vim编辑 /etc/rsyslog.conf配置文件,更改日志采集格式
重启日志采集服务,清空日志并查看日志倒数2行,日志写入测试,查看日志倒数2行,产生新日志格式
journalctl ---> 日志查看工具
注 ---> journalctl是查看内存中日志,不存储
-n 3 ---> 查看最近2条日志
-p err ---> 查看错误日志
-o verbose ---> 查看日志的详细参数
journalctl ---> 查看时间段内的日志
--since ---> 查看从什么时间开始的日志
--until ---> 查看到什么时间为止的日志
查看 2019-07-20 9:50:11到 2019-07-20 10:50:11 的日志
使用systemd-journald保存系统日志
默认systemd-journald是不保存系统日志到硬盘的
那么关机后再次开机只能看到本次开机之后的日志
上以次关机之前的日志是无法查看的
创建日志目录/var/log/journal并赋予systemd-journal属组及sgid 强制位,查看目录详细属性
用kill信号1加载systemd-journal服务,查看目录属性,生成日志功能
再次开机后所有上次关机前的日志也会保存在硬盘中,查看日志已经生成
标签:目录 开始 kill 登录 类型 启动 软件 log -o
原文地址:https://blog.51cto.com/14190777/2422585