日志
rsyslog服务:用于Linux系统以通过TCP/UDP转发或者接受日志的信息
1.日志采集规则
auth 用户登陆认证(pam产生日志)
authpriv 服务认证日志
kern 内核日志
lpr 打印机
cron 定时任务
local 1-7 用户自定义
news 新闻
user 用户相关程序
2.日志级别
debug 系统调试信息
info 常规信息
warning
err 报错(级别低,阻止了某个功能不能正常工作)
crit 报错(级别高,阻止了某个软件或整个系统不能正常工作)
alert 需要立即修改
emerg 内核崩溃
none 不采集任何日志
vim /var/log/messages
vim /etc/rsyslog.conf
auth.debug /var/log/westos
auth.* /var/log/auth
*.* /var/log/log.all
系统常用日志
/var/log/messages 所有日志级别的常规信息(不包含邮件,服务认证)
/var/log/secure 服务认证日志
/var/log/ 所有日志文件,必须有root权限
w -f 查看连接的ip用户信息
3.日志远程同步
在日志发送方
vim /etc/rsyslog.conf
*.* @172.25.254.100 #日志接收方
利用UDP同步日志
15 $ModLoad imudp 打开接收插件UDP
16 $UDPServerRun 514 打开接受方端口
利用TCP同步日志
18 # Provides TCP syslog reception
19 #$ModLoad imtcp
20 #$InputTCPServerRun 514
systemctl restart rsyslog 重启日志(更新日志文件)
systemctl stop firewalld 直接关闭防火墙
systemctl disable firewalld 默认关闭状态
4.定义采集格式
vim /etc/rsyslog.conf
$template 格式名称,“日志采集格式”
*.info;mail...
$template westos,"%timegenerated% %FROMHOST-IP% syslog% %mag%\n"
%tim% 日志生成时间
%FROMHOST-IP% 日志来源主机的IP
%sys 日志生成程序
%msg 日志内容
\n 换行
> /etc/rc.d/rc.local 清空本地日志
journalctl 日志查看工具
-f 监控CTRL+C结束监控
-n 3 最新3行
-p err 查看错误
--since 1:30 --until 1:31
-0 verbose 查看日志详细参数
_PIN=... 查看某进程日志
systemctl restart sshd
systemctl status sshd(查看sshd的pin)
ps aux | grep journal 查找 journal相关进程状态
5.对systemd-journald管理
默认此程序只负责对日志进行查看,而不进行保存管理
系统关机会清除日志,那么为了查看之前的日志,需要对日志进行备份。
利用systemctl-journald保存日志到硬盘
mkdir /var/log/journal
chgrp systemd-journald /var/log/journal
chmod g+s /var/log/journal
killall -1 systemd-journald
journalctl -n 3 最近三行日志信息
date
reboot
journalctl
w -f 查看
vim /etc/hosts.deny
sshd:172.25.254.250
vim /etc/hosts.allow
6.时间同步
服务器端时间共享时间
vim /etc/chrony.conf
22 allow 172.25.254.0/24 允许这些用户时间同步
29 local strstum 开启时间共享功能,开启后不再同步其他时间,以主机此时时间为准
systemctl restart chronyd
客户端:
vim /etc/chrony.conf
server 172.25.254.100 iburst
systemctl restart chronyd 重启时间同步程序
chronyc sources -v 查看是否同步
7.系统时间设定
timedatectl
timedatectl list-timezones
timedatectl set-timezone Asia/Shanghai 修改当前系统时间为上海时间
date 查看当前时间
timedatectl set-local-rtc 0 UTC时间
vim /etc/adjtime
timedatectl set-local-rtc 1 本地时间
vim /etc/adjtime
timedatectl set-time "2018-11-11 11:11:11"
date
8.at
at 时间
at now+5min
at 16:00
>touch file{1..10}
>ctrl+d 在16:00时执行
at -l 查看定时任务
at -c 3 查看3号任务信息
at -r 3 中断3号定时任务
watch -n 1 ls /root/Desktop 监控桌面文件显示情况
vim /etc/at.deny 原本存在
westos
touch /etc/at.allow 白名单后建,优先级高于黑名单。白名单存在时,黑名单就完全失效,白名单删除,黑名单重新发挥作用