Linux日志管理
Linux日志管理
原文连接:https://blog.csdn.net/wanghu66/article/details/83061119linux
1、日志来源
日至由程序产生,存储在内存条中vim
一、日志的查看
> /nar/log/messages ##清空目录内容服务器
cat /var/log/messages ##查看日志
systemctl start rsyslog.service ##加载日志收集ssh
/var/log/secure ##系统登录日志
/var/log/cron ##定时任务日志
/var/log/maillog ##邮件日志
/var/log/boot.log ##系统启动日志.net
二、日志的类型分为:
auth ##pam产生的日志debug
authpriv ##ssh,ftp等登录服务的验证信息3d
cron ##时间任务相关unix
kern ##内核rest
lpr ##打印日志
mail ##邮件
mark(syslog)-rsyslog ##服务内部的信息,时间标示
news ##新闻组
user ##用户程序产生的相关信息
uucp ##unix to unix copy,unix主机之间相关的通信
local 1~7 #自定义的日志设备
三、日志级别分为:
debug ##有调式信息的,日志信息最多
info ##通常信息的日志,最经常使用
notice ##最具备重要性的普通条件信息
warning ##警告级别
err ##错误级别,组织某个功能或者模块不能正常工做的信息
crit ##严重级别,组织整个系统或者整个软件不能正常工做的信息
alert ##须要马上修改的信息
emerg ##内核崩溃等严重信息
none ##什么都不记录
注意 :日志级别从上到下,级别从底到高,记录的信息愈来愈少,--man 3 syslog
2、日志同步
发送端
一、修改发送方式 vim /etc/rsyslog.conf
发送方式有两种TCP和UDP,一个@符表示发送方式是UDP,两个@@符则表示发送TCP
二、重起服务 systemctl restart rsyslog.service
三、写日志 logger hello
接收端
一、关闭防火墙 systemctl stop firewalld
二、修改接收方式 vim /etc/rsyslog.conf
发送方式为UDP则修改15行和16行 显示行号:set nu
发送TCP则修改19行和20行
三、重起服务 systemctl restart rsyslog.service
四、查看结果
查看前先清空日志文件
> /var/log/messages
cat /var/log/messages
五、实时监控日志
tail -f /var/log/messages
3、日志采集格式
接收方
vim /etc/rsyslog.conf
行添加:$template WESTOS,"%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n"
%timegenerated% ##显示日志时间
%FROMHOST-IP% ##显示主机ip
%syslogtag% ##日志记录目标
%msg% ##日志内容
\n ##换行
54行输出添加: /var/log/messages;WESTOS
而后重起服务 systemctl restart rsyslog.service
查看效果
4、时间同步服务
服务端:
一、修改参数 vim /etc/chron.conf
二、重起服务 systemctl restart chrony.service
三、date ##查看当前时间
修改部分 22行改服务地址 29行启用
客户端:
一、修改参数 ##vim /etc/chrony.conf
二、重起服务 ##systemctl restart chronyd.service
三、查看时间 ##date
四、查看同步来源 chronyc sources -V
改到同步的服务器地址
5、设置系统时间
timedatectl ##查看系统时区
timedatectl list-timezones ##查看所有时区
timedatectl set-timezone Asis/Shanghai ##设定时区为上海
timedatectl set-local-rtc 1 ##系统时间改成硬件时间 RTC->local time
timedatectl set-local-rtc o ##硬件时间同步约定时间 RTC->universal time
6、查看内存日志
journalctl ##查看所有
journalctl -n 3 ##查看最新3条
journalctl --since 19:00 --until 19:10:10 #查看起始时间到结束时间的日志可加日期
journalctl -p err ##报错日志
journalctl -o verbose ##日志详细内容
journalctl _PID=1245 _COMM=sshd ##查看包含这些参数的日志(在详细日志查看)
journalctl
systemctl status sshd ##打开进程
systemctl restart sshd.service ##重起进程
reboot ##重起之前的日志丢失(存在内存 断电清空)
7、让系统采集 journal信息
一、创建journal文件 ##mkdir /var/log/journal
二、添加组成员 ##chgrp systemd-journal /var/log/journal/ 组是自动建立的
三、设置任何文件都属于组 ##chmod g+s /var/log/journal
四、查看进程PID ##ps aux | grep systemd-journal
五、不断电重起进程 kill -1 352
默认状况下,systemd日志保存在/run/log/journal中,系统重启时会被清除
若是将日志保存在/var/log/journal目录,启动后就能够利用历史数据,造成永久日志
查看重起前的日志存放 bootctl ##查看硬件地址
- 1. Linux日志管理
- 2. Linux 日志管理
- 3. linux日志管理
- 4. Linux日志管理——syslog
- 5. linux系统日志管理
- 6. linux下的日志管理
- 7. Linux(日志管理)7/7
- 8. linux的日志管理
- 9. Linux 系统日志管理
- 10. Linux-系统日志管理
- 更多相关文章...
- • Swarm 集群管理 - Docker教程
- • Maven 依赖管理 - Maven教程
- • Docker 清理命令
- • ☆技术问答集锦(13)Java Instrument原理
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. Linux日志管理
- 2. Linux 日志管理
- 3. linux日志管理
- 4. Linux日志管理——syslog
- 5. linux系统日志管理
- 6. linux下的日志管理
- 7. Linux(日志管理)7/7
- 8. linux的日志管理
- 9. Linux 系统日志管理
- 10. Linux-系统日志管理