日志
1.rsyslog
- 此服务是用来采集系统日志的,他不产生日志,只是起到采集作用。
2.rsyslog的管理
/var/log/messages ##服务信息日志 /var/log/secure ##系统登陆日志 /var/log/cron ##定时任务日志 /var/log/maillog ##邮件日志 /var/log/boot.log ##系统启动日志
指定日志采集路径:什么类型的日志.什么级别的日志 /var/log/file 日志采集规则
日志类型分为:
类型 内容
auth pam产生的日志
authpriv ssh,ftp等登录信息的验证信息
cron 时间任务相关
kern 内核
lpr 打印
mail 邮件
mark(syslog)-rsyslog 服务内部的信息,时间标识
news 新闻组
user 用户程序产生的相关信息
uucp unix to unix copy unix主机之间相关的通讯
local 1~7 自定义的日志设备
日志级别分为:
级别 记录内容
debug 有调式信息的,日志信息最多
info 一般信息的日志,最常用
notice 最具有重要性的普通条件的信息
warning 警告级别
err 错误级别,阻止某个功能或者模块不能正常工作的信息
crit 严重级别,阻止整个系统或者整个软件不能正常工作的信息
alert 需要立刻修改的信息
emerg 内核崩溃等严重信息
none 什么都不记录
注意:
从上到下,级别从高到低,记录的信息越来越少
详细的查看手册:
man 3 syslog
操作示例:
目的:
把系统中的日志采集到/var/log/westos文件中
操作:
vim/etc/resyslog.conf *.* /var/log/westos systemctl restart rsyslog
测试:
systemctl restart sshd ##命令目的为了生成日志 cat /var/log/westos ##此文件中出现日志信息
3.日志的远程同步
在日志发送方:
vim/etc/rsyslog.conf *.* @172.25.254.129 ##"@"表示udp协议发送"@@"表示tcp协议发送 systemctl restart rsyslog
在日志接收方:
vim /etc/rsyslog.conf 15 #$ModLoad imudp ##日志接收模块 16 #$UDPServerRun 514 ##开启接收端口 systemctl restart rsyslog systemctl stop firewalld ##关闭火墙 systemctl disable firewalld ##设定火墙开机关闭
测试:
在发送方和接收方都清空日志文件 > /var/log/messages 在日志的发送方 logger test cat /var/log/messages ##查看日志已经生成
清空rc.local并重启
打开rsyslog.conf
加入*.* /var/log/westos
重启服务
查看文件westos
修改rsyslog.conf 为*.* @172.25.68.222
停止防火墙
发送方:产生日志logger test messages,查看日志
日志采集格式设定
vim /etc/rsyslog.conf #编辑配置文件 $template WESTOS, "%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n" 指定WESTOS规则,
%timegenerated% #显示日志时间 %FROMHOST-IP% #显示主机ip %syslogtag% #日志记录目标 %msg% #日志内容 \n #换行 *.* /var/log/westos;WESTOS #在指定的日志中采用WESTOS规则 $ActionFileDefaultTemplate WESTOS #修改系统默认日志采集方式为WESTOS
cat /var/log/westos
时间同步服务
服务名称
chronyd
在服务端:
vim /etc/chrony.conf 22 allow 172.25.254.0/24 #允许那些客户端来同步本机时间 29 local stratum 10 #本机不同步任何主机的时间,本机作为时间源 systemctl restart chronyd
在客户端:
vim /etc/chrony.conf server 172.25.254.77 iburst #本机立即同步77主机的时间 systemctl restart chronyd
测试:
在客户端:
chronyc sources -v