unit 10 文档练习

1.系统日志默认分类

      /var/log/messages    ##系统服务及日志，包括服务的信息，报错等等

      /var/log/secure     ##系统认证信息日志

      /var/log/maillog     ##系统邮件服务信息

      /var/log/cron       ##系统定时任务信息

      /var/log/boot.log     ##系统启动信息

      2.日志管理服务rsyslog

      (1)rsyslog负责采集日志和分类存放日志

      (2)rsyslog日志分类

       命令：vim /etc/rsyslog.conf     ##主配置文件

       服务.日志级别     /存放文件

        *.*           /var/log/westos

      命令:systemctl restart rsyslog   ##重启服务

  ***格式

   日志设备(类型).(连接符号)日志级别   日志处理方式(action)

    日志设备(可以理解为日志类型)

    uth        ##pam产生的日志

    authpriv    ##ssh,ftp等登录信息的验证信息

    cron        ##时间任务相关

    kern        ##内核

    lpr         ##打印

    mail        ##邮件

    mark(syslog)–rsyslog  ##服务内部的信息,时间标识

    news        ##新闻组

    user        ##用户程序产生的相关信息

    uucp        ##unix to unix copy, unix主机之间相关的通讯

    local 1~7      ##自定义的日志设备

    日志级别

       debug       ##有调式信息的，日志信息最多

       info        ##般信息的日志，最常用

       notice      ##最具有重要性的普通条件的信息

       warning     ##警告级别

       err         ##错误级别，阻止某个功能或者模块不能正常工作的信息

       crit        ##严重级别，阻止整个系统或者整个软件不能正常工作的信息

       alert       ##需要立刻修改的信息

       emerg       ##内核崩溃等严重信息

       none        ##什么都不记录

       **注意：从上到下，级别从低到高，记录的信息越来越少

    命令：man 3 syslog    ##查看详细手册

   （3）连接符号

     .xxx:  表示大于等于xxx级别的信息

     .=xxx： 表示等于xxx级别的信息

     .!xxx： 表示在xxx之外的等级的信息 

    3.实例

    (1)记录到普通文件或设备文件

     命令：*.*     /var/log/file.log   # 绝对路径

     命令：systemctl restart rsyslog   ##重启服务

         tail -f /var/log/file.log   ##监测文件内容

     4.日志同步

      命令：systemctl stop firewalld ##关闭两台主机的火墙

    配置日志发送方

     *.*      @172.25.254.174##通过udp协议把日志发送到174主机，@udp，@@tcp

     配置日志接受方

     15 $ModLoad imudp   ##日志接收插件

     16 $UDPServerRun 514  ##日志接收插件使用端口

     测试

     命令：logger hiuh  ##日志发送方

     命令：tail -f /var/log/message  ##日志接收方

     5.日志采集格式

 "$template WESTOS, "%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n"

   %timegenerated%   ##显示日志时间

   %FROMHOST-IP%    ##显示主机ip

   %syslogtag%     ##日志记录目标

   %msg%         ##日志内容

   \n           ##换行

      6.日志分析工具

       命令：journalctl   ##直接执行，浏览系统日志

           journalctl -n 3    ##显示最新3条

           journalctl  -p err  ##显示报错

           journalctl -f     ##监控日志

           journalctl--since --until"[YYYY-MM-DD] [hh:mm:ss]" ## 从什么时间到什么时间            的日志

           journalctl-o verbose    ##显示日志能够使用的详细进程参数

           journalctl           ##_SYSTEMD_UNIT=sshd.service服务名称

           journalctl           ##_PID=1182进程pid

    ***默认情况下此程序会忽略重启前的日志信息，如不忽略：

    mkdir /var/log/journal

    chown root:systemd-journal /var/log/journal

    chmod 2755 /var/log/journal

    killall -1 systemd-journald

    ls /var/log/journal/4513ad59a3b442ffa4b7ea88343fa55f

    system.journal user-1000.journal

    7.时间同步

    （1）服务端

       命令：vim /etc/chrony.conf   ##主配置文件

       21 # Allow NTP client access from local network.

       22 allow 172.25.254.175/24   ##允许谁去同步我的时间

       27 # Serve time even if not synchronized to any NTP server.

       28 local stratum 10   ##不去同步任何人的时间，时间同步服务器级别

       命令：systemctl restart chronyd

           systemctl stop firewalld

     （2）客户端

        命令：vim  /etc/chrony.conf

         server 172.25.254.174 iburst

        命令：systemctl restart chronyd

      （3）测试

         命令：chronyc sources -v

    8.timedatectl命令

    命令：timedatectl  status     ##显示当前时间信息

        timedatectl  set-time    ##设定当前时间

        timedatectl  set-timezone ##设定当前时区

        timedatectl  set-local-rtc 0|1 ##设定是否使用utc时间

本文转自  red777    51CTO博客，原文链接:http://blog.51cto.com/12314711/1914697