##系統的日誌管理 1.系統日誌在管理中的作用 系統日誌具有審計和檢測作用,通過對日誌中相關資訊的分析,可以檢查系統發生錯誤的相關 資訊,實時進行監控.有效利用日誌資訊並會分析與監控管理,對維護系統安全性有重要作用. 2.系統日誌分類 系統的日誌一般存放在/var/log/file下 ###檢視系統日誌檔案的許可權 檢視日誌前,為了便於檢視,首先清空日誌,然後重啟服務,檢視該服務的日誌資訊. 注意在企業工作中不可以直接清空日誌,先備份之後,然後清空. ###日誌管理rsyslog服務 ##rsyslog服務：rsyslog是一個日誌管理系統,可通過UDP/TCP協議提供日誌記錄服務,並且>對採集日誌可以自定義格式輸出 該服務主配置檔案在 /etc/rsyslog.conf 輔助配置檔案在 /etc/rsyslog.d/*.conf ##日誌型別

##日誌級別 注：從上到下,級別越來越高,記錄資訊越來越少 ###遠端同步日誌 實驗需兩臺虛擬機器,一臺作為傳送端,另外一臺作為接受端 首先在接受端關閉防火牆 systemctl stop firewalld.service 開啟UDP/TCP介面,下面開啟的是UDP 重啟服務 sysemctl restart rsyslog.service 在傳送端配置檔案新增接受端主機ip vim /etc/rsyslog.conf 重啟服務sysemctl restart rsyslog.service 接受端測試：首先清空傳送端和接受端日誌,便於實驗結果的觀察 接受端動態檢測檢視傳送過來的日誌tail -f /var/log/messages 傳送端連續傳送,接受端可以接受傳送端的日誌 ###journal對日誌管理 journalctl --since time ##檢視從某時間開始的日誌 journalctl --until time ##檢視截至某個時間前的所有日誌 journalctl --since time --until time ###檢視時間段內的日誌 journalctl -p err ##檢視錯誤資訊日誌 journalctl -o verbose ##檢視日誌詳細資訊 journalctl _PID=num _COMM=sshd ##檢視指定pid和命令日誌資訊 ###journal對日誌採集 journal可以直接檢視當前系統中日誌,但是當系統重啟後,以前日誌會消失,不便於對日誌儲存分析.不過可以通過rsyslog所提供的思路,將日誌儲存在檔案中,方便管理. ###檢視採集的日誌 有兩種檢視日誌的方式,發現cat /var/log/journal/不能檢視,有侷限性;journal採集的日誌,可以用journalctl檢視

系統預設時區為西四區,紐約時區 ###Local time 本地時間；RTC time硬體時間；Univesal time 倫敦時間 timedatectl set-timezone Aisa/Shanghai ##設定時區為上海 timedatectl set-time"y-m-d h-d-s" ##設定時間 timedatectl set-local-rtc 1 ##設定硬體時間與本地時間一致 timedatectl set-local-rtc 0 ##設定硬體時間與倫敦時間一致 ###chronyd服務 chronyd根據網路上其他時間伺服器時間來調整系統時鐘保持同步. chronyc用來監控chronyd效能和配置其他引數的使用者介面,可以控制本紀與其他主機上執行 chronyd程序 在所同步的主機上設定時間來源主機地址 重啟服務,檢視時間是否同步成功 ^?172.25.254.89:當前主機同步ip為172.25.254.89時間源主機成功