rsyslog日志服务器_journal entries
rsyslog日志服务器_journal entries
rsyslogd服务和journald服务
1、系统日志管理
后台程序(通常被称为守护进程或服务进程)处理了linux系统的大部分任务,日志是记录这些进程的详细信息和错误信息的文件
var/log/messages ##记录系统中所产生的日志
查看sshd服务产生的日志
vim /etc/ssh/sshd_config 编辑错误信息 restart服务后 systemctl status sshd
“tail /var/log/messages”可以看到sshd服务错误的日志 2、rsyslogd服务
1)rsyslogd管理
vim /etc/rsyslog.conf
/var/log/messages ##服务信息日志(记录linux操作系统常见的服务信息和错误信息) /var/log/secure ##系统的登陆日志(记录用户和工作组的变化情况,是系统安全日志,用户的认证登陆情况
/var/log/maillog ##邮件日志
/var/log/cron ##定时任务 /var/log/boot.log ##系统启动日志
2)日志类型
auth ##用户认证时产生的日志 login su 命令 authpriv ##ssh ftp等登陆服务的验证信息 cron ##与时间任务相关 kern ##系统内核消息 lper ##与打印机活动有关 mail ##邮件日志 mark ##服务内部的信息,是时间标识(产生时间戳) user ##用于用户程序产生的相关信息 uucp ##unix to unix copy unix主机之间相关的通信 news.crit ##新闻组(网络新闻传输协议nntp产生的信息)
3)日志级别(级别从低到高,记录的信息越来越少)
debug ##包括调试信息,信息最多 info ##一般信息日志,最常用 notice ##最具有重要性的普通条件信息(不是错误,但是需要处理) warning ##警告 err ##一般错误 crit ##严重错误 alert ##需要立即修改的信息(数据库损坏) emerg ##内核崩溃 none ##什么都不记录
4)创建一个日志
vim /etc/rsyslog.conf
55行 *.* /var/log/westos ##创建一个记录所有进程的文件
2、日志的远程同步
日志的发送方 vim /etc/rsyslog.conf 51行 *.* @接收方ip @:udp协议发送 @@:tcp协议发送 systemctl restart rsyslog.service
日志的接收方 15行 ModLoad imudp ##日志的接受模块 16行 UDPServerRun 514 ##开启接收端口
systemctl restart rsyslog.service 同步前需要先关闭防火墙并关闭自启动 systemctl stop firewalld.service systemctl disable firewalld.service
在接收方清空日志文件:>/var/log/messages
发送方 logger test cat /var/log/messages ##查看日志是否生成
接收方 tail -f /var/log/messages ##动态监控系统日志的末尾
6)日志采集格式
在日志的接收方 vim /etc/rsyslog.conf
51行 添加 $template LOGFMT,”%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n”
在日志文件后添加LOGFMT
*.* /var/log/westos;LOGFMT
%timegenerated% ##显示日志时间 %FROMHOST-IP% ##显示主机IP %syslogtag% ##日志记录目标 %msg% ##日志内容
3、时间同步服务
服务器端: vim /etc/chrony.conf 22行 allow 网段(172.25.254.0/24) ##允许某一网段的客户端来同步本机的时间 29行 local stratum 10 ##本机不同步任何主机的时间,本机作为时间源 systemctl restart chronyd.service
客户端: vim /etc/chrony.conf 3行 server 服务器ip iburst ##本机同步某一主机的时间
systemctl restart chronyd.service ##重启chronyd服务 chronyc sources -v ##查看同步的主机ip
**管理系统的时间
timedatextl status ##显示当前时间的信息 timedatectl set-time “当前时间” ##设定时间 timedatectl set-timezone ##设定当前时区 timedatectl list-timezones ##查看支持的所有时区 timedatectl set-local-rtc 1 ##将硬件时钟设置为本地时区 timedatectl set-local-rtc 0 ##将硬件时钟设置为UTC
4、journald服务
journalctl ##查看全部日志内容 journalctl -n 3 ##查看最近3条日志 journalctl -p err ##查看错误日志 journalctl –since ‘时间’ –until ‘时间’ ##查看从某时间开始到某时间结束的日志
systemd-journald是不保存日志到内存的 如何实现保存断电前的日志
mkdir /var/log/journal ##创建一个journal的目录 chgrp systemd-journal /var/log/journal/ ##改变其所属组为systemd-journald服务
chmod g+s /var/log/journal/ ##给文件添加强制位特殊权限
killall -1 systemd-journal ##使服务重新运行
可以看到创建创建目录的时间,这个目录创建时间起所有的日志都会被保存,实现了断电前的日志保存
发布者:全栈程序员栈长,转载请注明出处:https://javaforall.cn/170608.html原文链接:https://javaforall.cn
腾讯云开发者
