2. 程式人生 > >Linux基礎知識(系統日誌的相關命令)

Linux基礎知識(系統日誌的相關命令)

阿新 發佈:2018-11-22

一、系統日誌的採集規則

  1. 日誌可以直接看出系統中的錯誤,日誌在記憶體裡,由服務決定
    vim /etc/rsyslog.conf 檢視並修改採集日誌檔案配置,為了讓我們把日誌採集到指定位置。

  2. 日誌採集格式:日誌型別.日誌級別 日誌存放檔名稱
    1.日誌型別:
    auth 使用者登陸日誌(pam產生的日誌)
    authpriv 服務認證日誌(sshd認證日誌)
    kern 核心日誌
    cron 時間任務日誌
    lpr 印表機日誌
    mail 郵件日誌
    news 新聞日誌
    user 使用者相關程式產生的日誌
    uucp unix to unix copy, unix主機之間相關的通訊
    local 1~7 使用者自定義日誌
    mark(syslog)-rsyslog 服務內部資訊,時間標識
    2.日誌級別:


    debug 系統除錯資訊,日誌資訊最多
    info 常規資訊,最常用的資訊
    notice 最具有重要性的普通條件資訊
    warning 警告資訊
    err 報錯(級別低,阻止了某個功能不能正常工作)
    crit 報錯(級別高,阻止整個軟體或整個系統不能正常工作)
    alert 需要立即修改的資訊
    emerg 核心崩潰等嚴重資訊
    none 不採集任何日誌資訊
    注意: 日誌從上到下,級別從低到高,記錄的資訊也越來越少。

  3. 系統常用日誌
    /var/log/messages 所有日誌級別的常規資訊(不包含郵件,服務認證,定時任務)
    在這裡插入圖片描述
    /var/log/maillog 郵件日誌
    在這裡插入圖片描述
    /var/log/cron 定時任務日誌
    在這裡插入圖片描述


    /var/log/secure 服務認證日誌
    在這裡插入圖片描述
    :omusrmsg:* 核心崩潰等嚴重資訊日誌
    在這裡插入圖片描述
    /var/log/spooler unix主機之間相關的通訊和新聞日誌的高階報錯日誌
    在這裡插入圖片描述
    /var/log/boot.log 使用者自定義日誌
    在這裡插入圖片描述

  4. 日誌的遠端同步
    1.一臺主機處理多臺伺服器的日誌
    日誌傳送方:(客戶端)
    編輯vim /etc/rsyslog.conf
    vim /etc/rsyslog.conf編輯日誌的採集規則(說明要傳送的日誌型別和接受方) @ UDP @@TCP
    54 *.info;mail.none;authpriv.none;cron.none /var/log/messages
    55 *.* @172.25.254.250

    日誌接收方的地址
    在這裡插入圖片描述
    systemctl restart rsyslog.service重新啟動服務
    [[email protected] ~]# > /var/log/messages清除原本日誌 (實驗用)
    [[email protected] ~]# > /etc/rc.d/rc.local 清除日誌的啟動指令碼,重新啟動後生效
    logger test 輸入 test
    cat /var/log/messages 檢視日誌
    在這裡插入圖片描述
    日誌接收方:
    systemctl stop firewalld 關閉防火牆
    編輯vim /etc/rsyslog.conf
    14 行# Provides UDP syslog reception
    15 $ModLoad imudp 開啟外掛
    16 $UDPServerRun 514 開啟介面 UDP
    在這裡插入圖片描述
    systemctl restart rsyslog.service 重新啟動服務
    [[email protected] ~]# > /var/log/messages 清空原日誌
    [[email protected] ~]# > /etc/rc.d/rc.local 清除日誌的啟動指令碼,重新啟動後生效
    cat /var/log/messages 檢視desktop主機的日誌
    在這裡插入圖片描述
    在這裡插入圖片描述

  5. 定義日誌的採集格式
    要求傳輸過來的日誌有時間,IP,程序來源,程序內容。
    在接收方端編輯 vim /etc/rsyslog.conf
    $template 格式名稱,“日誌採集格式”
    *.info;mail.none;authpriv.none;cron.none /var/log/messages;格式名稱
    在RULES下新增:

    $template WESTOS,"%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n"
    *.info;mail.none;authpriv.none;cron.none /var/log/messages;WESTOS
    在這裡插入圖片描述
    %timegenerated% 日誌生成時間
    %FROMHOST-IP% 日誌來源主機的IP
    %syslogtag% 日誌生成程式
    %msg% 日誌內容
    \n 換行
    編輯結束退出後執行重啟動服務systemctl restart rsyslog.service
    在這裡插入圖片描述
    在這裡插入圖片描述

  6. 時間同步(chrony命令)
    同步時間實驗:
    傳送放:desktop:編輯 vim /etc/chrony.conf
    server 172.25.254.250 iburst 同步ip為172.25.245.250主機的時間
    在這裡插入圖片描述
    systemctl restart chronyd.service 重新啟動服務
    在這裡插入圖片描述
    接收方:編輯修改時間 date 12121212
    Wed Dec 12 12:12:00 EST 2018
    在這裡插入圖片描述
    編輯vim /etc/chrony.conf
    #Allow NTP client access from local network.
    allow 172.25.254/24 允許指定主機同步不時間
    #Serve time even if not synchronized to any NTP server.
    local stratum 10 開啟介面表示允許同步
    在這裡插入圖片描述
    systemctl restart chronyd.service 重新啟動服務
    關閉火牆systemctl stop firewalld
    在這裡插入圖片描述
    測試:
    1.檢視傳送端時間
    在這裡插入圖片描述
    2.檢視接收端時間
    在這裡插入圖片描述
    檢視傳送端是否和接收端的時間同步 chronyc sources -v
    在傳送端desktop主機執行 chronyc sources -v 命令
    在這裡插入圖片描述
    同步成功與ip為172.25.254.250主機時間同步。

  7. 系統時間的修改
    timedatectl 命令顯示當前時間資訊
    在這裡插入圖片描述
    timedatectl list-timezones 檢視當前時區
    在這裡插入圖片描述
    timedatectl set-timezone Asia/shanghai設定當前時區

    timedatectl set-local-rtc 0 預設情況,RTC------UTC
    在這裡插入圖片描述
    vim /etc/adjtime檔案包括了調整硬體時鐘的資料
    在這裡插入圖片描述
    timedatectl set-local-rtc 1 RTC=local
    在這裡插入圖片描述
    vim /etc/adjtime
    在這裡插入圖片描述
    在這裡插入圖片描述
    timedatectl set-time "2018-10-17 16:05:50"設定當前系統時間
    在這裡插入圖片描述

  8. journalctl 命令日誌檢視工具,直接檢視記憶體中的日誌
    journalctl 檢視儲存在記憶體中的所有日誌
    在這裡插入圖片描述
    journalctl -n 3 檢視記憶體中最近的3行日誌
    在這裡插入圖片描述

    journalctl --since 12:10 --until 12:30:50檢視記憶體中從12:10分開始到12:30:50結束的日誌
    在這裡插入圖片描述
    journalctl -p err 檢視報錯日誌
    在這裡插入圖片描述
    journalctl -o verbose 檢視日誌詳細引數
    在這裡插入圖片描述
    實驗步驟:
    systemctl status sshd 檢視pid
    systemctl restart sshd 重開啟一個sshd,每重啟一次PID就會不一樣
    在這裡插入圖片描述
    _PID=1179 _COMM=sshd
    在這裡插入圖片描述

  9. 記憶體採集日誌
    1.對systemd-journald管理
    預設此程式只負責對日誌進行檢視而不對日誌進行儲存和採集。
    那麼關機後再開機,對日誌進行檢視,只能檢視到開機後的日誌,系統之前的日誌因為是儲存在記憶體中的,所以關機後就被清空了,那麼在開機時用journalctl看不到之前的日誌。
    2.如何讓systemd-journald儲存日誌到硬碟中
    步驟如下:
    mkdir /var/log/journal 首先建立journal 日誌
    ll -d /var/log/journal/ 檢視
    chgrp systemd-journal /var/log/journal/修改日誌的組資訊(因為只識別systemd-journal組 )
    ll -d /var/log/journal/
    chmod g+s /var/log/journal/
    ls -ld /var/log/journal/
    ps aux | grep systemd-journald
    kill -1 371
    cd /var/log/journal/
    ls
    946cb0e817ea4adb916183df8c4fc817
    cd 946cb0e817ea4adb916183df8c4fc817
    在這裡插入圖片描述
    journalctl 直接檢視
    在這裡插入圖片描述

相關推薦

Linux基礎知識系統日誌相關命令

一、系統日誌的採集規則 日誌可以直接看出系統中的錯誤,日誌在記憶體裡,由服務決定 vim /etc/rsyslog.conf 檢視並修改採集日誌檔案配置,為了讓我們把日誌採集到指定位置。 日誌採集格式:日誌型別.日誌級別 日誌存放檔名稱 1.日誌型別: auth 使用

Linux基礎知識DNS及nmcli命令

一、設定ip(nmcli 命令) 首先執行systemctl status NetworkManager命令檢視服務是否開啟,該命令需要在服務開啟才可以執行。 nmcli device命令: nmcli device show 檢視詳細資訊 nmcli devic

Linux基礎知識selinux的初級管理

selinux 一、簡單瞭解selinux selinux核心級加強型火牆 起到限制服務功能,限制服務訪問兩個功能(在使用lftp訪問時體現) CONTEXT 安全上下文 程式安全上下文和檔案安全上下文匹配時訪問被允許 程式安全上下文和檔案安全上下文不匹配時訪問不被允許 ge

Linux 基礎知識 lvm 邏輯卷管理

lvm邏輯卷 Linux LVM是linux邏輯卷管理(Logical Volume Manager)的縮寫。他的功能是將固定的物理盤的功能能提供給使用者一個動態的功能。意思就是說以前我們用盤的話,比如這個盤只有300G,那麼建立在這個300G上面的檔案系統最多隻能用到300G,但是有了LVM這

linux雲自動化運維基礎知識3系統的基本命令

linux運維1 datewatch -n 1 date ###讓date命令每秒執行一次,ctrl +c 推出監控模式date 11181115 ###把系統時間設定為11月18日11:15 格式:月月天天小時分鐘date 111811152016.55 ##2016表示年(可以

Linux基礎知識軟體包管理與系統命令管理

一、軟體包管理 Linux基本軟體包管理---RPM和DPKG 在 GNU/Linux( 以下簡稱 Linux) 作業系統中,RPM 和 DPKG 為最常見的兩類軟體包管理工具,他們分別應用於基於 RPM 軟體包的 Linux 發行版本和 DEB 軟體包的 Linux 發行版本。軟體

Linux 基礎知識 rpm 命令安裝軟體 、第三方平臺的搭建 和 網路源

一、RPM簡單介紹 RPM是Linux開發商將原始碼在特定硬體平臺和作業系統平臺上編譯後,記載軟體相依性應編輯成檔案,並將這兩者打包成的一個特殊格式的檔案。使用RPM安裝後,各文件會被安裝到特定的目錄下,所以很方便查詢、升級(使用YUM)與解除安裝。 二、下載軟體安裝包 我的軟體

Linux基礎知識檔案在系統中的傳輸,歸檔及壓縮

一、檔案 在系統中的傳輸(scp和rsync命令) 一. scp與rsync的區別 scp傳輸速度較慢,傳輸過程是一種資料的重新建立,連同屬性一塊建立。 rsync傳輸速度快,傳輸過程是資料的同步,是一種映象複製的過程,並非所有檔案都可以資料同步,可以資料同步的檔案,映

linux 基礎知識

linux 基礎命令 補充上一章關於alias,取消alias的方法為,unalias + 別名用戶登錄流程1.用戶在登陸時,會調用一些文件(這裏註意下,是用戶登錄,不是開機啟動)/etc/profile/etc/profile.d/~/.bash_profile~/.bashrc/etc/bashr

linux 基礎知識

linux 基礎知識 日誌 日誌的作用:1.解決系統方面的問題2.解決網絡服務的問題3.記錄過往事件 /var/log/ //日誌文件保存位置cron //記錄周期性任務計劃dmesg //開機核心偵測信息lastlog //系統所有行好最近一次的登陸信息mail

Linux基礎知識系統磁碟管理

一、linux系統中的磁碟管理 1.本地儲存裝置的識別 fdisk -l                  &nbs

Linux基礎知識FTP服務

一、 FTP的部署 安裝vsftpd 安裝 lftp 開啟vsftpd服務,並設定開機自啟動 檢視火牆狀態,當火牆關閉時開啟火牆,並新增lftp服務到火牆白名單 重新載入 檢視,ftp服務已經新增到火牆白名單中

Linux基礎知識虛擬機器的安裝及控制

一、安裝虛擬機器: 方法一: 在真機輸入 virt-manager命令 彈出一個介面首先將desktop與server關閉 選右下角 Forward 在Broese…中選擇已經下載好的 rhel-server-7.2-x86_64-dvd.iso 安裝源,選好後按 Forward

Linux基礎知識ssh服務

sshd服務 一、openssh 當主機中開啟openssh服務,就對外開放了遠端連線的一個介面 openssh服務的服務端sshd openssh服務的客戶端ssh 二、在客戶端連線sshd的方式 ssh 服務端使用者@服務端ip地址 例如ssh [email&

Linux基礎知識管理輸入輸出

inux中管理輸入輸出 1.輸入就是我們的鍵盤,滑鼠和我們用這些硬體在系統只錄入的字元。 2.輸出就是系統接收到我們想要實現的功能字元後,經過程序的處理產生字元。輸出會有兩種形式出現:編號1為正確輸出,編號2為錯誤輸出,預設著兩種輸出都會被系統定向到字元裝置中。

Linux基礎知識使用者管理

使用者管理 一、使用者理解 使用者就是系統使用者的身份,在系統中使用者儲存為若干字元+若干個系統配置檔案。我們可以使用whoami命令來檢視當前使用者身份,但我們在切換使用者時不可以一直用su命令頻繁切換,這樣會導致之後操作中會出現報錯,我們要學會用exit命令

Linux基礎知識

tor ctrl+ 有用 打印字符 二進制文件 and 硬件時間 所在 編輯器 一、計算機的組成及其功能。計算機是一種對海量數據進行自動、高速處理的電子設備。它由硬件系統和軟件系統組成。計算機硬件組成部分遵循馮諾依曼體系:由存儲器、控制器、運算器、輸入設備、輸出設備組成。存

Linux基礎知識第二講,檔案目錄命令使用

目錄 一丶Linux終端使用技巧. 1.自動補全 Tab技巧. 2.使用輸入過的命令 二丶Linux 目錄知識 1.linux目錄的特點 2.ls 隱藏檔案的檢視 3.ls 常用選項 4.萬用字元的配合使用 三丶目錄切換命

Linux基礎知識之chattr和lsattr命令詳解

有時候你發現通過root使用者都不能修改某個檔案,大部分原因是曾經用chattr命令鎖定該檔案了。chattr命令的作用很大,其中一些功能是由Linux核心版本來支援的,不過現在生產絕大部分跑的linux系統都是2.6以上核心。通過chattr命令修改屬效能夠提高系統的安全性,但是它並不適合所有的目

兄弟連Linux基礎知識系統管理視訊教程下載地址彙總

課程大綱—— 第1講 Linux應用與發展 1、    UNIX/Linux發展歷史 2、    自由軟體 3、    Linux應用領域 4、    Linux學習方法 第2講 Linux系統安裝 1、    VMware虛擬機器軟體應用 2、    Linux系統安裝詳解及配置 3、    遠端登入管理工