日誌的檢視管理與遠端同步
阿新 • • 發佈:2019-01-25
1.關於/var/log/message檔案
這個檔案相當重要,幾乎系統發生的所有錯誤資訊(或者重要資訊)都會記錄在這個檔案中;
如果系統發生莫名的錯誤時,這個檔案是一定要查閱的日誌檔案之一。
logger test message 測試,會在/var/log/messages裡面產生測試資訊
2.關於/var/log/secure檔案
基本上,只要牽涉到需要輸入帳號密碼的軟體,那麼當登入時(不管登入正確或錯誤)都會
被記錄在此檔案中。包括系統的咯改in程式、圖形哦嗯介面登入所使用的gdm程式、圖形及面
登入所使用的gdm程式、su、sudo、等程式,還有網路聯機的ssh、telnet等程式,登入資訊
都護被記載雜在這裡。
2.當執行systemctl stop rsyslog.service時,雖然會繼續生成日誌資訊,但並不會採集到這個
檔案裡面去。但執行journalctl仍可以查詢到關閉之後的日誌記錄。
systemctl list list-unit-files 檢視所有開機自起的資訊
3.syslog的配置檔案:/etc/syslog.conf
這個檔案規定了什麼服務的什麼等級資訊以及需要被記錄在哪裡(裝置或檔案)這三個東西,
所以設定的語法會是這樣的:
服務名稱[.=!]資訊等級 資訊記錄的檔名或裝置或主機
mail.info /var/log/maillog_info
#這一行說明:mail服務產生的大於等於info等級的資訊,都記錄到/var/log/maillog_info
這個檔案中
a.服務名稱:
auth(與認證機制有關login,ssh,su),cron(例行性工作排程cron/at等產生的資訊)
,daemon,kern,lpr,mail,news,syslog,user,uucp,local0~7
b資訊等級:(按資訊的嚴重性升序排列)
info(基本資訊說明),notice(除了info以外還要注意的內容),warning,err,
crit,alert,emerg
c.資訊記錄的檔名或裝置或主機
4.可以為自定義的日誌檔案用chattr新增+a屬性,使檔案只能增加不能刪除
5.日誌檔案的遠端同步
伺服器可以啟動監聽埠,客戶端則將日誌檔案再轉出一份送到伺服器去
######日誌同步##########
在日誌接收方:
vim /etc/rsyslog.conf
$ModLoad imudp###載入日誌接收功能模組
$UDPServerRun 514###載入日誌接收介面
拓展重點:netstat -anulpe|grep 514
netstat是控制檯命令,是一個監控TCP/IP網路的非常有用的工具,它可以顯示路由表、
實際的網路連線以及每一個網路介面裝置的狀態資訊
-a, --all display all sockets (default: connected)
-n以網路ip代替名稱,顯示網路連線情形
-u udp
-l, --listening display listening server sockets
-p 顯示建立相關連線的程式名和PID
-e 顯示乙太網統計。此選項可以與 -s 選項結合使用
-s 顯示每個協議的統計
在日誌傳送方:
*.*@日誌接收方ip##udp傳輸是在前面加一個@,tcp在前面加兩個@
udp速度快,不安全
tcp安全穩定,美udp快
做完配置重啟rsyslogd服務
關閉火牆
systemctl stop firewalld
6.日誌檔案的輪替(logrotate)
當一次執行完rotate之後,原本的messages會變成messages.1,並且會製造
一個新的messages,第二次rotate之後,messages.1會變成message.2,messages
會變成messages.1,然後再生成一個新的messages。依此類推,如果我們設定
僅保留3個日誌檔案的話,那麼第四次的時候messages.3就會被刪除。
7.設定永久的儲存系統日誌資訊
mkdir /var/log/journal
chmod root.systemd-journal /var/log/journal
chmod 2775 /var/log/journal
killall -1 systemd-journald ##重新載入
只要執行journalctl,就可一看到這個目錄建立之後的日誌資訊,關機重起不會
之前的日誌資訊不會被刪除
8.遠端時間同步
1.在客戶端修改,確定時間源地址
vim /etc/chrony.conf
server 172.25.254.101 iburst
2.確定客戶主機使用的時間同步服務是否開啟
systemctl status chronyd.service
chronyd.serviceser
3.在服務機端修改
vim /etc/chrony.conf
allow 172.25.254.100
local stratum 10
4.systemctl restart chronyd.service
5.chronyc sources -v ##檢視有沒有同步成功
9.日誌分析
systemd-journald###日誌分析程序
journalctl ###日誌分析命令
journalctl -n 5##檢視最近生成的5條日誌
journalctl -p err##檢視系統報錯
journalctl --since --until###檢視某個時間段生成的日誌
journalctl -o verbose###檢視日誌能夠使用的條件引數
journalctl _UID=##程序uid
_PID=##程序id
_GID=##程序gid
_HOSTNAME= ##程序所在主機
_SYSTEMD_UNIT=##服務名稱
_COMM= ##命令名稱
10.datetimectl
timedatectl list-timezones##列出時區
timedatectl set-timezone 時區##設定時區
timedatectl set-time HH:mm:ss##設定系統時間
計算機上,有兩個時間,一個是硬體時間(BIOS中記錄的時間,稱為hwclock),
另一個是作業系統時間(osclock)。硬體時鐘由BIOS電池供電,當計算機關機後,
會繼續執行,BIOS電池一般可使用幾年,如果沒電了,那BIOS中的資料會恢復出廠設定。
hwclock的時區在/etc/default/rcS檔案中設定,裡面有一個引數UTC,預設值為True,
表示使用UTC時區,如果設定為no,那表示使用osclock的時區
檢視硬體時間 hwclock -r
將osclock寫入hwclockhwclock -w
osclock的時區配置檔案為/etc/timezone,如果你想修改,那最好使用sudo dpkg-reconfigure tzdata來修改時區,
不建議直接修改/etc/timezone檔案,
如果你想修改為UTC時間,那執行sudo dpkg-reconfigure tzdata命令時,選擇None of the above->UTC 即可。
檢視osclock date
修改osclock date -s hh:mm:ss
我們一般會使用ntp同步osclock
詳細講解http://www.cnblogs.com/ajianbeyourself/p/4189520.html
這個檔案相當重要,幾乎系統發生的所有錯誤資訊(或者重要資訊)都會記錄在這個檔案中;
如果系統發生莫名的錯誤時,這個檔案是一定要查閱的日誌檔案之一。
logger test message 測試,會在/var/log/messages裡面產生測試資訊
2.關於/var/log/secure檔案
基本上,只要牽涉到需要輸入帳號密碼的軟體,那麼當登入時(不管登入正確或錯誤)都會
被記錄在此檔案中。包括系統的咯改in程式、圖形哦嗯介面登入所使用的gdm程式、圖形及面
登入所使用的gdm程式、su、sudo、等程式,還有網路聯機的ssh、telnet等程式,登入資訊
都護被記載雜在這裡。
2.當執行systemctl stop rsyslog.service時,雖然會繼續生成日誌資訊,但並不會採集到這個
檔案裡面去。但執行journalctl仍可以查詢到關閉之後的日誌記錄。
systemctl list list-unit-files 檢視所有開機自起的資訊
3.syslog的配置檔案:/etc/syslog.conf
這個檔案規定了什麼服務的什麼等級資訊以及需要被記錄在哪裡(裝置或檔案)這三個東西,
所以設定的語法會是這樣的:
服務名稱[.=!]資訊等級 資訊記錄的檔名或裝置或主機
mail.info /var/log/maillog_info
#這一行說明:mail服務產生的大於等於info等級的資訊,都記錄到/var/log/maillog_info
這個檔案中
a.服務名稱:
auth(與認證機制有關login,ssh,su),cron(例行性工作排程cron/at等產生的資訊)
,daemon,kern,lpr,mail,news,syslog,user,uucp,local0~7
b資訊等級:(按資訊的嚴重性升序排列)
info(基本資訊說明),notice(除了info以外還要注意的內容),warning,err,
crit,alert,emerg
c.資訊記錄的檔名或裝置或主機
4.可以為自定義的日誌檔案用chattr新增+a屬性,使檔案只能增加不能刪除
5.日誌檔案的遠端同步
伺服器可以啟動監聽埠,客戶端則將日誌檔案再轉出一份送到伺服器去
######日誌同步##########
在日誌接收方:
vim /etc/rsyslog.conf
$ModLoad imudp###載入日誌接收功能模組
$UDPServerRun 514###載入日誌接收介面
拓展重點:netstat -anulpe|grep 514
netstat是控制檯命令,是一個監控TCP/IP網路的非常有用的工具,它可以顯示路由表、
實際的網路連線以及每一個網路介面裝置的狀態資訊
-a, --all display all sockets (default: connected)
-n以網路ip代替名稱,顯示網路連線情形
-u udp
-l, --listening display listening server sockets
-p 顯示建立相關連線的程式名和PID
-e 顯示乙太網統計。此選項可以與 -s 選項結合使用
-s 顯示每個協議的統計
在日誌傳送方:
*.*@日誌接收方ip##udp傳輸是在前面加一個@,tcp在前面加兩個@
udp速度快,不安全
tcp安全穩定,美udp快
做完配置重啟rsyslogd服務
關閉火牆
systemctl stop firewalld
6.日誌檔案的輪替(logrotate)
當一次執行完rotate之後,原本的messages會變成messages.1,並且會製造
一個新的messages,第二次rotate之後,messages.1會變成message.2,messages
會變成messages.1,然後再生成一個新的messages。依此類推,如果我們設定
僅保留3個日誌檔案的話,那麼第四次的時候messages.3就會被刪除。
7.設定永久的儲存系統日誌資訊
mkdir /var/log/journal
chmod root.systemd-journal /var/log/journal
chmod 2775 /var/log/journal
killall -1 systemd-journald ##重新載入
只要執行journalctl,就可一看到這個目錄建立之後的日誌資訊,關機重起不會
之前的日誌資訊不會被刪除
8.遠端時間同步
1.在客戶端修改,確定時間源地址
vim /etc/chrony.conf
server 172.25.254.101 iburst
2.確定客戶主機使用的時間同步服務是否開啟
systemctl status chronyd.service
chronyd.serviceser
3.在服務機端修改
vim /etc/chrony.conf
allow 172.25.254.100
local stratum 10
4.systemctl restart chronyd.service
5.chronyc sources -v ##檢視有沒有同步成功
9.日誌分析
systemd-journald###日誌分析程序
journalctl ###日誌分析命令
journalctl -n 5##檢視最近生成的5條日誌
journalctl -p err##檢視系統報錯
journalctl --since --until###檢視某個時間段生成的日誌
journalctl -o verbose###檢視日誌能夠使用的條件引數
journalctl _UID=##程序uid
_PID=##程序id
_GID=##程序gid
_HOSTNAME= ##程序所在主機
_SYSTEMD_UNIT=##服務名稱
_COMM= ##命令名稱
10.datetimectl
timedatectl list-timezones##列出時區
timedatectl set-timezone 時區##設定時區
timedatectl set-time HH:mm:ss##設定系統時間
計算機上,有兩個時間,一個是硬體時間(BIOS中記錄的時間,稱為hwclock),
另一個是作業系統時間(osclock)。硬體時鐘由BIOS電池供電,當計算機關機後,
會繼續執行,BIOS電池一般可使用幾年,如果沒電了,那BIOS中的資料會恢復出廠設定。
hwclock的時區在/etc/default/rcS檔案中設定,裡面有一個引數UTC,預設值為True,
表示使用UTC時區,如果設定為no,那表示使用osclock的時區
檢視硬體時間 hwclock -r
將osclock寫入hwclockhwclock -w
osclock的時區配置檔案為/etc/timezone,如果你想修改,那最好使用sudo dpkg-reconfigure tzdata來修改時區,
不建議直接修改/etc/timezone檔案,
如果你想修改為UTC時間,那執行sudo dpkg-reconfigure tzdata命令時,選擇None of the above->UTC 即可。
檢視osclock date
修改osclock date -s hh:mm:ss
我們一般會使用ntp同步osclock
詳細講解http://www.cnblogs.com/ajianbeyourself/p/4189520.html