系統日志的采集

日志是由進程生成

1.rsyslog 服務
此服務是用來采集系統日志的，他不產生日志，只是起到采集作用
2.rsyslog服務的管理

/var/log/messages	該文件儲存服務信息日志
/var/log/secure	該文件儲存登陸日志
/var/log/cron	該文件儲存定時任務日志
/var/log/maillog	該文件儲存郵件日志
/var/log/boot.log	該文件儲存系統啟動日志

3.指定日志采集路徑

/etc/rsyslog.conf ##編輯 rsyslog 服務的配置文件 什么類型的日志 . 什么級別的日志 /var/log/filename ##日志的采集規則

日志類型分為：

auth	pam產生的日志
authpriv	ssh,ftp等登陸信息的驗證信息
cron	時間任務相關
kern	內核
lpr	打印
mail	郵件
mark(syslog)-rsyslog	服務內部的信息，時間標識
news	新聞組
user	用戶程序產生的相關信息
uucp	unix to unix copy,unix 主機之間相關的通訊
local 1-7	自定義的日志設備

日志級別分為：

debug	有調試信息的，日志信息最多
info	一般信息的日志，最常用
notice	最具有重要性的普遍條件的信息
warning	警告級別
err	錯誤級別，組織某個功能或模塊不能正常工作的信息
crit	嚴重級別，組織整個系統或整個軟件不能正常工作的信息
alert	需要立刻修改的信息
emerg	內核崩潰等嚴重信息
none	什么都不記錄

注意：從上到下，級別從低到高，記錄信息越來越少
詳細日志級別信息可以查看手冊 ：man 7 rsyslog

操作示例：
目的：
把系統中所有日志采集到/var/log/westos文件中
操作：

vim /etc/rsyslog.conf*.* /var/log/westos ##文件第57行左右systemctl restart rsyslog ##重啟服務

編輯日志采集文件 將所有日志采集到/var/log/westos

測試：

systemctl restart sshd ##此命令為了生成日志cat /var/log/westos ##此文件中出現日志信息

4.日志的遠程同步
在日志的發送方：

vim /etc/rsyslog.conf ##更改日志管理的配置文件*.* @172.25.254.202 ##@表示使用udp協議的發送 @@表示使用tcp協議的發送 后面跟日志的接受方ip 第57行左右systemctl restart rsyslog ##重新j加載

在日志發送方編輯配置文件 發送日志

日志的接收方：

vim /etc/rsyslog.conf 15 $MODLOAD Imudp ##開啟日志的接收模塊 16 $UDPSereverRun 514 ##開啟日志接收端口 systemctl restart rsyslog systemctl stop firewalld ##關閉防火墻，當防火墻打開時，日志不能傳輸過來 systemctl disable firewalld ##設定防火墻開機關閉

在日志接收方編輯配置文件 打開接收端口

在日志接收方關閉防火墻并重新加載服務

測試：
在發送方和接受方都清空日志：

> /var/log/messages

在日志的發送方：

logger test ## j建立日志cat /var/log/messages ##查看日志是否生成

發送方建立日志

在日志的接收方查看：

cat /var/log/messages

可以在接收方查看到建立的test日志

注意：在編輯好配置文件后需要重新加載服務 在關閉防火墻之后也需要加載服務
5.日志采集格式的設定

vim /etc/rsyslog .conf $template WESTOS, "%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n" ##設定日志采集格式

%timegenerated%	顯示日志時間
%FROMHOST-IP%	顯示主機ip
%syslogtag%	日志記錄目標
%msg%	日志內容
\n	換行

編輯日志的采集格式

當編輯配置文件出現語法錯誤時會出現以下內容

*.* /var/log/westos;WESTOS ##在指定的日志中采用WESTOS格式$ActionFileDefultTemlate WESTOS ##修改系統默認日志采集格式為WESTOScat /var/log/westos ##可以觀察到該文件內容在設定后日志的采集格式為WESTOS格式

修改系統默認日志的采集格式為WESTOS

指定某個文件的日志采集格式

6.日志時間同步設定(主機時間的同步）
服務名稱：chronyd
在服務端：

vim /etc/chrony.conf ##編輯該服務的配置文件 22 allow172.25.254.0/24 ##允許那些客戶端來同步本機時間 網絡號與172.25.254相同的可以同步本機時間 29 local stratum 10##本機不同步任何主機的時間，本紀作為時間源 systemctl restar chronyd

在服務端編輯配置文件 允許相應主機的ip連接

在客戶端：

vim /etc/chrony.conf server172.25.254.102 ##本機立刻同步102主機時間 systemctl restart chronyd

執行命令后如圖所示 與遠程主機時間同步
測試：

在客戶端執行：

chronyc sources -v

執行該命令后 如圖所示 ^ * 表示建立了同步關系

timedatectl 命令
管理系統時間命令 ：timedatectl

timedatectl status ##顯示當前時間信息 （可以加也可以不加status 不加表示默認) timedatectl set-time 09:11 ##設定當前時間為09：11 timedatectl set-timezone Asia/Shanghai ##設定當前時區為亞洲上海 timedatectl list-timezones ##查看支持的所有時區 timedatectl set-local-rtc 0|1 ##設定是否使用utc時間 使用utc國際時間則本機時間為utc加時區差

設定當前時區為上海

設定當前時間為09：11

查看支持的時區 使用分頁瀏覽

utc 與rtc

日志查看

journalctl 日志的查看工具

journalctl -n 3 ##查看最近的三條日志 journalctl -p err ##查看錯誤日志journalctl -o verbose ##查看日志的詳細參數journalctl --since ##查看從什么時間開始的日志journalctl --until ##查看到什么時間為止的日志

查看最近三條命令
查看錯誤日志

查看從2019-07-17 04：39：25開始的日志

查看從2019-04：39：25到04：39：27的日志

2.如何使用systemd-journald 保存系統日志
默認systend-journald是不保存系統日志到硬盤的，關機后再次開機只能看到本次開機之后的日志，上次關機之前的日志是無法查看的

保存系統日志到硬盤：

mkdir/var/log/journal chgrp systemd-journal /var/log/journal chmod g+s /var/log/journal killall -1 systemd-journald ls /var/log/journal 946cb0e817ea4ad916183df8c4fc817 ##產生的數據文件 日志信息

在設定配置文件之前 查看系統日志為

重啟系統后 之前的日志丟失

設定相應可以儲存系統日志地文件
再次重啟系統 可以發現日志沒有丟失

總結

以上是生活随笔為你收集整理的系统日志分析 之 日志的采集与查看的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。