系統中日誌的管理(二)
阿新 • • 發佈:2018-11-15
1.日誌的遠端同步
(1)日誌的傳送方:輸入命令,更改檔案配置,將指定的日誌傳送給接收方,其中有兩種協議傳送,一種為upd,另一種為tep協議,兩種協議傳送方式不同,更改時要注意
vim /etc/rsyslog.conf
*.* @172.25.254.220
. 表示所有日誌
@表示udp協議的傳送,@@表示tep協議的傳送
練習:
(2)日誌的接收方
同樣需要更改配置檔案後,才能接收到來自於傳送方載入的日誌檔案
vim /etc/rsyslog.conf
開啟日誌的15/16行的協議接收埠
重新啟動系統,重新讀取配置檔案
systemctl restart rsyslog
關閉防火牆
systemctl stop firewalld
在日誌的傳送接收過程中,由於地區的時差不同,會導致傳過來的檔案也有時差,所以對於一臺同時管理多臺多地區的電腦,需要按照一個統一的時間來管理,就比較方便了
2.日誌的時間同步服務
服務名稱:chronyd (1)服務端(接收日誌方) 更改配置檔案,將接收過來的日誌統一化成自己的時間 vim /etc/chrony.conf 22行 allow 172.25.120/24 允許這個ip的主機同步本機的時間 29行 local startum 10 本機不同步任何主機的時間,本機作為時間源、 systemctl restart chronyd 重新載入一次配置檔案 更改本機自己的時間:timedatectl set-Asia /shangha 將時間更改為傷害時間
(2)客戶端(傳送日誌方)
更改配置檔案:
vim /etc/chrony.conf
serxr 172.25.254.220 inbuest 本機同步ip為172.25.254.220的主機的時間
systemctl restart chronyd
timedatectl set-timezone Asia/shanghai 更改當前時區為垌8區
(3)測試
在客戶端(日誌傳送方)輸入以下命令:
chronyc sources -v
練習:
timedatectl 命令 timedatectl 是管理系統時間的命令 timedatectl status 顯示系統當前時間資訊 set-time 設定當前時間 set-timezone 設定當前時區 set-local-rtc 0|1 設定是否使用utc時間(0為使用。1為不使用)
3.系統中日誌的具體檢視
(1)日誌的檢視
journal是系統中日誌檢視命令
journalctl 命令
journalctl -n 10 檢視最近10條命令
journalctl -p err 檢視錯誤的日誌
journalctl -o verbose 檢視日誌的詳細引數
journalctl --since 檢視從什麼時間開始的日誌
joiurnalctl --until 檢視從時間時間結束的日誌
練習:
(2)預設情況下,系統日誌在經過關機重啟後,重啟之前日誌是不被保留的,我們可以使用systemd-journald 將所有日誌可儲存下來,方便管理
mkdir /var/log/rizhi
chgrp systemd-journal /var/log/rizhi
chmod g+s /var/log/rizhi
killall -l systemd-journald
ls /var/log/rizhi
