以下所有操作都是在Red-hat 7.0上執行。

1.系統日誌預設分類

/var/log/messages ##系統服務及日誌，包括服務的資訊，報錯等等
/var/log/secure ##系統認證資訊日誌
/var/log/maillog ##系統郵件服務資訊
/var/log/cron ##系統定時任務資訊
/var/log/boot.log ##系統啟動資訊

2.日誌管理服務rsyslog

1.rsyslog負責採集日誌和分類存放日誌
2.rsyslog日誌分類
vim /etc/rsyslog.conf ##主配置檔案
服務.日誌級別 /存放檔案
“.

systemctl restart rsyslog

格式

日誌裝置(型別).(連線符號)日誌級別 日誌處理方式(action)

日誌裝置(可以理解為日誌型別):

auth ##pam產生的日誌
authpriv ##ssh,ftp等登入資訊的驗證資訊
cron ##時間任務相關
kern ##核心
lpr ##列印
mail ##郵件
mark(syslog)–rsyslog ##服務內部的資訊,時間標識
news ##新聞組
user ##使用者程式產生的相關資訊
uucp ##unix to unix copy, unix主機之間相關的通訊
local 1~7 ##自定義的日誌裝置

日誌級別

———————————————————————-
debug ##有調式資訊的，日誌資訊最多
info ##般資訊的日誌，最常用
notice ##最具有重要性的普通條件的資訊
warning ##警告級別
err ##錯誤級別，阻止某個功能或者模組不能正常工作的資訊
crit ##嚴重級別，阻止整個系統或者整個軟體不能正常工作的資訊
alert ##需要立刻修改的資訊
emerg ##核心崩潰等嚴重資訊
none ##什麼都不記錄

注意：從上到下，級別從低到高，記錄的資訊越來越少

詳細的可以檢視手冊: man 3 syslog

連線符號

———————————————————————-
.xxx: 表示大於等於xxx級別的資訊
.=xxx：表示等於xxx級別的資訊
.!xxx：表示在xxx之外的等級的資訊

例項

1. 記錄到普通檔案或裝置檔案::
. /var/log/file.log # 絕對路徑
. /dev/pts/0
測試: logger -p local3.info ‘KadeFor is testing the rsyslog and logger ‘ logger 命令用於產生日誌


2. 傳送給使用者(需要線上才能收到)
. root
. root,kadefor,up01 # 使用,號分隔多個使用者
. * # *號表示所有線上使用者

3. 忽略,丟棄
local3.* ~ # 忽略所有local3型別的所有級別的日誌

4. 執行指令碼::
local3.* ^/tmp/a.sh # ^號後跟可執行指令碼或程式的絕對路徑
# 日誌內容可以作為指令碼的第一個引數.
# 可用來觸發報警

日誌同步

systemctl stop firewalld ##關閉兩臺主機的火牆

配置日誌傳送方
. @172.25.0.11 通過udp協議把日誌傳送到11主機，@udp，@@tcp

配置日誌接受方
15 ModLoad imudp ##日誌接收外掛
16 UDPServerRun 514 ##日誌接收外掛使用埠

netstat -anulpe | grep rsyslog
udp 0 0 0.0.0.0:514 0.0.0.0:* 0 122073 32654/rsyslogd
udp6 0 0 :::514 :::* 0 122074 32654/rsyslogd

測試

/var/log/messages ##兩邊都作
logger test message ##日誌傳送方

tail -f /var/log/message ##日誌接收方

日誌採集格式

$template WESTOS, “%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n”

%timegenerated% ##顯示日誌時間
%FROMHOST-IP% ##顯示主機ip
%syslogtag% ##日誌記錄目標
%msg% ##日誌內容
\n ##換行

$ActionfileDefaultTemplate WESTOS

*.info;mail.none;authpriv.none;cron.none /var/log/messages;<>

3.日誌分析工具journal

systemd-journald ##程序名稱

journalctl ##直接執行，瀏覽系統日誌

-n 3 ##顯示最新3條

-p err ##顯示報錯

-f ##監控日誌

–since –until ## –since “[YYYY-MM-DD] [hh:mm:ss]” 從什麼時間到什麼時間的日誌

-o verbose ##顯示日誌能夠使用的詳細程序引數
##_SYSTEMD_UNIT=sshd.service服務名稱
##_PID=1182程序pid

對systemd-journald管理

預設情況下此程式會忽略重啟前的日誌資訊，如不忽略：

mkdir /var/log/journal
chown root:systemd-journal /var/log/journal
chmod 2755 /var/log/journal ##???
killall -1 systemd-journald ##???
ls /var/log/journal/4513ad59a3b442ffa4b7ea88343fa55f
system.journal user-1000.journal ##???

4.時間同步

1.服務端
yum install chrony -y ##安裝服務

vim /etc/chrony.conf ##主配置檔案
21 # Allow NTP client access from local network.
22 allow 172.25.0.0/24 ##允許誰去同步我的時間
27 # Serve time even if not synchronized to any NTP server.
28 local stratum 10 ##不去同步任何人的時間，時間同步伺服器級別

systemctl restart chronyd
systemctl stop firewalld

2.客戶端
vim /etc/chrony.conf
3 server 0.rhel.pool.ntp.org iburst
4 server 1.rhel.pool.ntp.org iburst====> server ntpserverip iburst
5 server 2.rhel.pool.ntp.org iburst====>
6 server 3.rhel.pool.ntp.org iburst

systemctl restart chronyd

測試：
[[email protected] ~]# chronyc sources -v
210 Number of sources = 1

.– Source mode ‘^’ = server, ‘=’ = peer, ‘#’ = local clock.
/ .- Source state ‘*’ = current synced, ‘+’ = combined , ‘-’ = not combined,
| / ‘?’ = unreachable, ‘x’ = time may be in error, ‘~’ = time too variable.
|| .- xxxx [ yyyy ] +/- zzzz
|| / xxxx = adjusted offset,
|| Log2(Polling interval) -. | yyyy = measured offset,
|| \ | zzzz = estimated error.
|| | |

===============================================================================
^* 172.25.0.11 10 6 377 41 +170us[ +201us] +/- 191us

5.timedatectl命令

timedatectl status ##顯示當前時間資訊

set-time ##設定當前時間

set-timezone ##設定當前時區

set-local-rtc 0|1 ##設定是否使用utc時間

The end