在Linux中，有兩種管理系統日誌的服務:rsyslog與journal

區別：rsyslog是對日誌進行採集，journal是直接檢視日誌

一.rsyslog

1.系統日誌存放位置

/var/log/messages         服務資訊日誌         

/var/log/secure             系統登入日誌

/var/log/cron                  定時任務日誌

/var/log/maillog              郵件日誌

/var/log/boot.log             系統啟動日誌

例：vim /etc/log/messages

2.日誌管理服務

/etc/rsyslog.conf           主配置檔案,包含rsyslog所有資訊

管理員可以修改，刪除，新增規則

1）自定義日誌採集方式

vim  /etc/rsyslog.conf

新增存放日誌檔案：

在55空行新增：*.*;authpriv.none                       /var/log/westos

新增存放日誌檔案wesos

驗證：

自定義日誌格式：

在47空行新增規則:

1. %timegenerated%       日誌生成時間
2. %FROMHOST-IP%      日誌來源主機ip
3. %syslogtag%                 日誌生成程式
4. %msg%                          日誌內容
5. \n                                     換行

在檔案路徑後新增規則名稱westos

儲存並退出，重啟rsyslog服務

測試：重啟sshd服務，產生系統日誌

可見系統日誌變成了這個樣子

2）日誌遠端同步

PC1 ip:172.25.254.201    傳送方

PC2 ip:172.25.254.178    接收方

1.傳送方配置

新增規則：

*.*          @172.25.254.178

重啟rsyslog服務

2.接收方配置

去掉15，16行前#

重啟rsyslog服務

由於防火牆會阻止來自發送方的日誌訊息，為了實驗效果，我們暫時關閉防火牆

驗證：

為了實驗環境純淨，我們先清空/var/log/messages中的內容

然後cat /var/log/messages

傳送方重啟sshd服務產生系統日誌

接收到傳送方的重啟sshd系統日誌

---

二.journal

系統日誌檢視工具

1. journalctl  -n  3                   檢視最近三條日誌
2. journalctl  -p err                  檢視錯誤型別日誌（-p 可跟日誌型別即為x類日誌）
3. journalctl  -f                          日誌監控
4. journalctl  --since  --until     檢視從xx時間到xx時間的日誌
5. journalctl  -o verbose          檢視日誌詳細引數
6. journalctl  _pid=651            檢視指定pid的程序日誌

管理程式systemd-journald：

該程式預設只對日誌進行檢視而不進行儲存採集，關機後會失去以前的日誌

如何使該程式儲存日誌檔案到硬碟？

mkdir /var/log/journal

在/var/log目錄下新建journal目錄

chgrp systemd-journald /var/log/journal

更改目錄組屬性

chmod g+s /var/log/journal

更改journal下檔案組屬性

killall -1 systemd-journald

重啟程序，會在journal下自動生成檔案

日誌就會一直儲存在jounal中

 

三.時間同步

PC1 ip:172.25.254.201    傳送方

PC2 ip:172.25.254.178    接收方

實現PC1與PC2時間同步

PC1：

PC2：

1.傳送端配置

修改chrony配置檔案：vim /etc/chrony.conf

允許PC2同步PC1的時間

不去同步任何人的時間，時間同步伺服器級別

重啟服務：systemctl restart chronyd

注意：關閉防火牆 systemctl stop firewalld.service

2.接收端配置

修改chrony配置檔案：vim /etc/chrony.conf

新增時間同步伺服器PC1
重啟服務：systemctl restart chronyd

測試：chronyc sources -v

最後一行出現^*開頭即成功同步時間。

 

四.timedateacl命令

timedatectl        status                
         同timedateacl                顯示當前時間資訊

timedatectl list-timezones     列出時區表
                    set-time                設定當前時間
                    set-timezone        設定當前時區
                    set-local-rtc 0|1    設定是否使用utc時間                      

可以檢視vim /etc/adjtime，實際上改變的是此檔案
           

寫在最後，如果大家喜歡linux運維方面的知識，歡迎關注本博主，會每週更新與linux運維相關的一些小知識，幫助大家入門

願你與我一同成長！

往期：

ttps://blog.csdn.net/Stella_Pooter/article/details/82951345        Linux運維入門～1.虛擬機器使用

https://blog.csdn.net/Stella_Pooter/article/details/82952307      Linux運維入門～2.命令列使用技巧

https://blog.csdn.net/Stella_Pooter/article/details/82960344      Linux運維入門～3.檔案管理

https://blog.csdn.net/Stella_Pooter/article/details/82971516      Linux運維入門～4.輸入輸出管理與vim管理

https://blog.csdn.net/Stella_Pooter/article/details/82983752      Linux運維入門～5.使用者管理

https://blog.csdn.net/Stella_Pooter/article/details/82986125      Linux運維入門～6.檔案許可權管理

https://blog.csdn.net/Stella_Pooter/article/details/82989454      Linux運維入門～7.程序管理

https://blog.csdn.net/Stella_Pooter/article/details/83000027      Linux運維入門～8.sshd服務管理

https://blog.csdn.net/Stella_Pooter/article/details/83052049      Linux運維入門～9.檔案傳輸

Never say die