Linux系统日志管理
1、系统常用的日志(日志是用来记录重大事件的工具)
/var/log/message 系统信息日志,包含错误信息等
/var/log/secure 系统登录日志
/var/log/cron 定时任务日志
/var/log/maillog 邮件日志
/var/log/boot.log 系统启动日志
2、日志管理服务 rsyslog
【1】作用:主要用来采集日志,不产生日志
【2】配置文件:/etc/rsyslog.conf
编辑文件时的格式为: ------ *.* 存放日志文件 ------
其中第一个*代表日志类型,第二个*代表日志级别
1.日志类型分为:
auth ##pam产生的日志
authpriv ##ssh、ftp等登录信息的验证信息
corn ##时间任务相关
kern ##内核
lpr ##打印
mail ##邮件
mark(syslog)-rsyslog##服务内部的信息,时间标识
news ##新闻组
user ##用户程序产生的相关信息
uucp ##unix to nuix copy主机之间相关的通信
local 1-7 ##自定义的日志设备
2. 日志级别分为:
debug ##有调试信息的,日志通信最多
info ##一般信息日志,最常用
notice ##最具有重要性的普通条件的信息
warning ##警告级别
err ##错误级别,阻止某个功能或者模块不能正常工作的信息
crit ##严重级别,阻止整个系统或者整个软件不能正常工作的信息
alert ##需要立刻修改的信息
emerg ##内核崩溃等重要信息
none ##什么都不记录
注意:从上到下,级别从低到高,记录信息越来越少
详细信息可查手册:man 5 syslog
3.示例:在/etc/rsyslog中添加一个日志文件/var/log/xniu,当sshd服务出错时,该文件会接收到错误
注释: ------ > /var/log/xniu ---是对文件的内容进行清空;当系统配置文件一定要重启使其生效。
3.日志的远程同步
【1】 作用:便于管理多台主机
【2】步骤:
(1)在日志发送方:vim /etc/rsyslog.conf ----->文件里添加内容: *.*@172.25.254.97 ------> systemctl restart rsyslog
注释:添加内容里面,@表示使用udp协议发送;@@表示使用tcp协议发送
(2)在日志接收方:vim /etc/rsyslog.conf ------>使第15行、16行有效------> systemctl restart rsyslog ------>systemctl stop firewalld
------>systemctl disable firewalld
注释: 配置文件里面,15行:$ModLoad imudp ##表示日志接受模块;
16行:$UDPServerRun 514##表示开启接受模块
systemctl stopfirawalld##关闭接受方防火墙
systemctl disable firewalld ##使防火墙开机不自启动
(3)发送方和接收方均清空日志文件,使用命令: > /var/log/message
(4)测试:在日志的发送方运行:logger test ------> cat /var/log/message ;完成之后,会产生日志信息
在接受方运行:cat /var/log/message ;
【3】示例:client虚拟机为发送方,server虚拟机为接受方;实现日志的同步
[root@client ~]# vim /etc/rsyslog.conf
在服务端进行操作:
[root@server ~]# vim /etc/rsyslog.conf
注意:清空日志文件的先后顺序。
4.日志采集格式的设定
【1】作用:从发送方同步过来的日志,不利于我们查看相关信息;所以要接收方采集的日志按我们自己的设定的规则来显示
【2】设定步骤:vim /etc/rsyslog.conf ------> $template LOGFMT,"%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n"
------> 在自己显示的日志文件后面,把格式添加进去:*.*/var/log/westos;LOGFMT
注释: %timegenerated% ##显示日志时间
%FROMHOST-IP% ##显示主机IP
%syslogtag% ##日志记录目标
%msg% ##日志内容
\n ##换行
【3】 示例: 在server虚拟机中设置规则,可以查看到发送方的信息
[root@server ~]# vim /etc/rsyslog.conf
在server主机测试结果:
5.日志分析和采集工具
【1】命令:journalctl##直接执行,进行日志的查看
【2】参数:-n 3 ##查看最近三条记录-perr##查看错误日志-overbose##查看日志的详细参数
--since##查看从什么时候开始的日志 --until##查看什么时候截止的日志
【3】如何使用--- systemd-journald ---保存系统日志信息
【4】示例: 使用-n命令来显示最近3条命令
使用-p命令显示错误日志:
使用-o verbose查看详细参数:
也可以用命令:journalctl _PID=2482 _COMM=sshd 来进行精确查找:
使用命令:journalctl --since "2018-07-27 12:00" --until "2018-07-19 00:00" 时间段的日志
补充:日志在系统的存储是暂时的,系统重启后之前的日志信息就不会存在。可以通过以下步骤实现日志的信息保存(在设置之后的留下的信息)
[root@client ~]# chgrp systemd-journal /var/log/journal/
[root@client ~]# chmod g+s /var/log/journal/ ## 把该文件的使用均指定为组信息
[root@client ~]# ps aux | grep systemd-journal
root 364 0.0 0.2 40864 2428 ? Ss 06:05 0:00 /usr/lib/systemd/systemd-journald
root 5298 0.0 0.0 112644 936 pts/0 R+ 12:08 0:00 grep --color=auto systemd-journal
[root@client ~]# killall -1 systemd-journald ##重新开启日志进程
[root@client journal]# ls
946cb0e817ea4adb916183df8c4fc817 ##记录日志信息的id
[root@client journal]# ll ##该日志会记录7-20 12:09以后的记录
total 0
drwxr-sr-x 2 root systemd-journal 27 Jul 20 12:09 946cb0e817ea4adb916183df8c4fc817
[root@client journal]# date
Fri Jul 20 12:10:17 CST 2018
6.日志时间同步
【1】作用:让多台虚拟机保持时间的一致。
【2】服务名称:chronyd
【3】步骤:(在两台虚拟机下进行)
(1)在服务端配置:vim /etc/chronyd
22行 allow 172.25.254.0/24 ## 允许ip为172.25.254.0、子网掩码为24的主机同步时间
28行 local stratum 10 ##表示不同步其他时间
systemctl restart chronyd
(2)在客户端配置:vim /etc/chronyd
2-5行留下一行:server 172.25.254.97 ##表示要同步的主机为172.25.254.97
systemctl restart chrond ## 重启服务
systemctl stop firewalld ## 关闭防火墙
(3)测试:在客户端输入:chronyc sources -v
若结果为如下,则表示同步成功:
注意:在做此实验前,两边的时间是不相同的(可以使用date查看);服务器端和客户端要关闭防火墙,这样可以进行数据的同步;
文件配置之后要重启。
7.时间设置timedatectl
使用timedatetcl查看系统时间
命令timedatectl list-timezones列出所有时区
使用--- timedatectl set-timezone 时区名---来修改时区
使用---timedatectl set-time "2018-7-20 12:00:00" ---对时间设定
注意:当前系统中的时间为bios时间+时区(windows下无这种计算方法);
---timedatectl set-local-rtc 0---表示使用UTC时间
Linux系统日志管理的更多相关文章
- Linux 系统日志管理 rsyslogd配置文件
rsyslogd配置文件 rsyslogd 服务是依赖其配置文件 /etc/rsyslog.conf 来确定哪个服务的什么等级的日志信息会被记录在哪个位置的.也就是说,日志服务的配置文件中主要定义了 ...
- Linux 系统日志管理
Linux rsyslogd服务及启动方法 在 CentOS 6.x 中,日志服务已经由 rsyslogd 取代了原先的 syslogd.Red Hat 公司认为 syslogd 已经不能满足工作中的 ...
- :Linux 系统日志管理 日志转储
Linux日志服务器设置 使用“@IP:端口”或“@@IP:端口”的格式可以把日志发送到远程主机上. 假设需要管理几十台服务器,每天的重要工作就是查看这些服务器的日志,可是每台服务器单独登录,并且查看 ...
- 【CentOS】Linux日常管理
/////////////////////////目录///////////////////////////////////////// 一.日常监控指标相关 1.监控系统状态命令 2.查看系统进程 ...
- Linux系统日志及日志分析
Linux系统日志及日志分析 Linux系统拥有非常灵活和强大的日志功能,可以保存几乎所有的操作记录,并可以从中检索出我们需要的信息. 大部分Linux发行版默认的日志守护进程为 syslog,位 ...
- linux 内存管理——内核的shmall 和shmmax 参数
内核的 shmall 和 shmmax 参数 SHMMAX= 配置了最大的内存segment的大小 ------>这个设置的比SGA_MAX_SIZE大比较好. SHMMIN= 最小的内存seg ...
- [转帖]linux 内存管理——内核的shmall 和shmmax 参数
(转)linux 内存管理——内核的shmall 和shmmax 参数 内核的 shmall 和 shmmax 参数 SHMMAX= 配置了最大的内存segment的大小 ------>这个 ...
- (转)linux 内存管理——内核的shmall 和shmmax 参数
内核的 shmall 和 shmmax 参数 SHMMAX= 配置了最大的内存segment的大小 ------>这个设置的比SGA_MAX_SIZE大比较好. SHMMIN= 最小的内存seg ...
- rsync 通过服务的方式同步 linux系统日志 screen工具
rsync 通过服务的方式同步 俩台机器传文件IP地址交叉编写. 主机1: 要编辑配置文件 /etc/rsyncd.conf rsyncd.conf样例 port=873 ...
随机推荐
- 【Python】错误、调试和测试
链接到错误处理 链接到调试 链接到单元测试 链接到文档测试 [错误处理] 小结:遇到错误怎么办? 1.不理它. 2.捕获它,再抛出. 3.捕获并处理错误. raise 不懂如何处理错误就直接抛出(ra ...
- Web前端开发学习笔记(一)
最近在复习Web前端的开发知识,于是就把大二上学期曾经学过的东西拿出来复习一遍,把自己在做曾经的作业时遇到有意义的点都记下来吧. Homework1:http://my.ss.sysu.edu.cn/ ...
- 20145240《网络对抗》逆向及Bof基础实践
逆向及Bof基础实践 1.1 实践目标 本次实践的对象是一个名为pwn1的linux可执行文件. 该程序正常执行流程是:main调用foo函数,foo函数会简单回显任何用户输入的字符串. 该程序同时包 ...
- Win7下硬盘安装fedora17
Win7下硬盘安装fedora17 这几天经过很多次的百度和实验,终于成功的在我的x64机子上装上了fedora17,以此分享给大家,希望能给大家帮助. 一.准备工作: 1.工具,因为我们电脑上大部分 ...
- HAL编译问题
1 make:进入目录'/opt/FriendlyARM/tiny4412/android/android-4.1.2'make: *** 没有规则可以创建“out/target/product/ge ...
- C++利用系统时间产生的随机数
本文由青松原创并依GPL-V2及其后续版本发放,转载请注明出处且应包含本行声明. C++中常用rand()函数生成随机数,但严格意义上来讲生成的只是伪随机数(pseudo-random integra ...
- mysql中一张(居民)表按年龄段查询数据
知识点: 用mysql,按年龄段查询一张居民的数据(各年龄段居民的个数) 1.如:查询resident(居民表),按照各年龄段,统计人数 2.mysql语句如下: select ageproporti ...
- 爬虫框架Scrapy之Item Pipeline
Item Pipeline 当Item在Spider中被收集之后,它将会被传递到Item Pipeline,这些Item Pipeline组件按定义的顺序处理Item. 每个Item Pipeline ...
- 【咖啡の设备】Wacaco的minipresso便携咖啡机(咖啡粉版,胶囊版)
之前看到houjy527发帖说入手了一台minipresso胶囊版,想起来这货是个好玩具,出差旅行必备佳品(可惜我从没出过差) minipresso设计很赞,简直不能更方便了~ 下面是houjy527 ...
- 单元测试 使用 Effort 内存数据库 报错
单元测试中 使用 Effort 内存数据库,可能会遇到两个错误: 1. :“No Entity Framework provider found for the ADO.NET provider wi ...