日志管理

日志

rsyslog服务：用于Linux系统以通过TCP/UDP转发或者接受日志的信息

1.日志采集规则

 

auth         用户登陆认证(pam产生日志)

authpriv     服务认证日志

kern         内核日志

mail         

lpr           打印机

cron          定时任务

local 1-7     用户自定义

news          新闻

user          用户相关程序

 

2.日志级别

debug          系统调试信息

info           常规信息

warning        

err            报错(级别低，阻止了某个功能不能正常工作)

crit           报错(级别高，阻止了某个软件或整个系统不能正常工作)

alert          需要立即修改

emerg          内核崩溃

none           不采集任何日志                

 

vim /var/log/messages           

 

vim /etc/rsyslog.conf

  auth.debug    /var/log/westos

  auth.*        /var/log/auth

  *.*           /var/log/log.all

系统常用日志

/var/log/messages    所有日志级别的常规信息（不包含邮件，服务认证）

/var/log/secure       服务认证日志

/var/log/             所有日志文件，必须有root权限

w -f                 查看连接的ip用户信息

3.日志远程同步

在日志发送方

vim /etc/rsyslog.conf

*.*                @172.25.254.100         #日志接收方

                                         利用UDP同步日志

 15 $ModLoad imudp         打开接收插件UDP

 16 $UDPServerRun 514      打开接受方端口

                                         利用TCP同步日志

 18 # Provides TCP syslog reception

 19 #$ModLoad imtcp

 20 #$InputTCPServerRun 514

 

systemctl restart rsyslog       重启日志（更新日志文件）

systemctl stop firewalld        直接关闭防火墙

systemctl disable firewalld     默认关闭状态

 

4.定义采集格式

vim /etc/rsyslog.conf

$template 格式名称,“日志采集格式”

*.info;mail...

 

$template westos,"%timegenerated% %FROMHOST-IP% syslog% %mag%\n"

%tim%               日志生成时间

%FROMHOST-IP%       日志来源主机的IP

%sys                日志生成程序

%msg                日志内容

\n                  换行

 

> /etc/rc.d/rc.local   清空本地日志

 

 journalctl      日志查看工具

 -f           监控CTRL+C结束监控

 -n 3         最新3行

 -p err       查看错误

 --since 1:30 --until  1:31

 -0 verbose  查看日志详细参数  

 _PIN=...     查看某进程日志       

systemctl restart sshd

systemctl status sshd(查看sshd的pin)

 

ps aux | grep journal    查找 journal相关进程状态

5.对systemd-journald管理

默认此程序只负责对日志进行查看，而不进行保存管理

系统关机会清除日志，那么为了查看之前的日志，需要对日志进行备份。

利用systemctl-journald保存日志到硬盘

mkdir /var/log/journal

chgrp systemd-journald /var/log/journal

chmod g+s /var/log/journal

killall -1 systemd-journald

 

journalctl -n 3 最近三行日志信息

date

reboot

journalctl

 

w -f     查看

vim /etc/hosts.deny

 sshd:172.25.254.250

vim /etc/hosts.allow     

 

6.时间同步

服务器端时间共享时间

vim /etc/chrony.conf

 

22 allow 172.25.254.0/24      允许这些用户时间同步

29 local strstum              开启时间共享功能，开启后不再同步其他时间，以主机此时时间为准

systemctl restart chronyd

客户端：

vim /etc/chrony.conf

  server 172.25.254.100 iburst   

systemctl restart chronyd      重启时间同步程序

chronyc sources -v             查看是否同步

 

7.系统时间设定

timedatectl

timedatectl list-timezones

timedatectl set-timezone Asia/Shanghai    修改当前系统时间为上海时间

date                                      查看当前时间

timedatectl set-local-rtc 0               UTC时间                

vim /etc/adjtime

    timedatectl set-local-rtc 1           本地时间

vim /etc/adjtime

    timedatectl set-time "2018-11-11 11:11:11"

date

8.at

at 时间

at now+5min

 

at 16:00

>touch file{1..10}

>ctrl+d          在16：00时执行

at -l            查看定时任务

at -c 3          查看3号任务信息

at -r 3          中断3号定时任务

 

watch -n 1 ls /root/Desktop   监控桌面文件显示情况

vim /etc/at.deny  原本存在

       westos

 

touch /etc/at.allow    白名单后建，优先级高于黑名单。白名单存在时，黑名单就完全失效，白名单删除，黑名单重新发挥作用