Linux系统日志日志同步时间同步配置

目录

一. 系统日志默认分类

/var/log/下日志文件说明

二 .日志管理服务rsyslog

三、日志同步

1. 配置日志发送方

2. 配置日志接受方

3.日志分析工具journal

四、时间同步

1.服务端

2.客户端

 系统日志说明

一. 系统日志默认分类

/var/log/下日志文件说明

/var/log/messages    ##系统服务及日志&＃xff0c;包括服务的信息&＃xff0c;报错等等

/var/log/secure        ##系统认证信息日志

​编辑

/var/log/maillog    ##系统邮件服务信息

/var/log/cron        ##系统定时任务信息

​

/var/log/boot.log    ##系统启动信息

​编辑

二 .日志管理服务rsyslog

1. rsyslog

负责采集日志和分类存放日志

2. 主配置文件说明vim /etc/rsyslog.conf   

服务.日志级别        /存放文件

*.*            /var/log/westos

3. 重启方式

 systemctl restart rsyslog

4. 格式

mail.*          -/var/log/maillog

日志设备(类型).(连接符号)日志级别  日志处理方式(操作动作)

说明&＃xff1a;设备本身分为两个字段&＃xff0c;之间用“.”分隔&＃xff0c;前一个字段表示一项服务&＃xff08;设备类型&＃xff09;&＃xff0c;后一个字段表示优先级

5.日志设备(可以理解为日志类型) 

auth                ##pam产生的日志

authpriv                ##ssh,ftp等登录信息的验证信息

cron                ##时间任务相关

kern                ##内核

lpr                 ##打印

mail                ##邮件

mark(syslog)–rsyslog         ##服务内部的信息,时间标识

news                ##新闻组

user                ##用户程序产生的相关信息

uucp                ##unix to unix copy, unix主机之间相关的通讯

local 1~7                ##自定义的日志设备

6. 日志级别

debug               ##有调式信息的&＃xff0c;日志信息最多

info                ##般信息的日志&＃xff0c;最常用

notice              ##最具有重要性的普通条件的信息

warning             ##警告级别

err                 ##错误级别&＃xff0c;阻止某个功能或者模块不能正常工作的信息

crit                ##严重级别&＃xff0c;阻止整个系统或者整个软件不能正常工作的信息

alert               ##需要立刻修改的信息

emerg               ##内核崩溃等严重信息

none                ##什么都不记录

注意&＃xff1a;从上到下&＃xff0c;级别从低到高&＃xff0c;记录的信息越来越少

详细的可以查看手册: man 3 syslog

7. 优先级界定符

.xxx: 表示大于等于xxx级别的信息

.&＃61;xxx&＃xff1a;表示等于xxx级别的信息

.!xxx&＃xff1a;表示在xxx之外的等级的信息

8. 操作动作

file 指定日志文件的绝对路径

• terminal或print 发送到串行或者并行设备标识符 例如/dev/ttyS2
• &＃64;host 是远程的日志服务器
• username 发送信息到本机的指定用户终端中&＃xff0c;前提是该用户必须已经登录到系统中
• named pipe      发送到预先使用mkinfo 命令来创建的FIFO文件的绝对路径

实例:

a. 记录到普通文件或设备文件::

*.*     /var/log/file.log       # 绝对路径

*.*     /dev/pts/0

测试: logger -p local3.info ‘KadeFor is testing the rsyslog and logger ‘   logger 命令用于产生日志

b. 发送给用户(需要在线才能收到)

*.*   root

*.*   root,kadefor,up01         # 使用,号分隔多个用户

*.*   *                                     # *号表示所有在线用户

c. 忽略,丢弃

local3.*   ~                # 忽略所有local3类型的所有级别的日志

d. 执行脚本:

local3.*    ^/tmp/a.sh          # ^号后跟可执行脚本或程序的绝对路径

                # 日志内容可以作为脚本的第一个参数.

                #  可用来触发报警

d. #把日志除info级别外都写入到mail 文件中

mail.*;mail.!&＃61;info  /var/adm/mail

f. 仅把邮件的通知性消息发送到tty12终端设备

mail.&＃61;info /dev/tty12

g. 如果root和joey用户已经登录到系统&＃xff0c;则把所有紧急信息通知给他们

*.alert  root,joey

h. 把所有信息都发送到192.168.3.100主机

*.*  &＃64;192.168.3.100

三、日志同步

systemctl stop firewalld         ##关闭两台主机的火墙

1. 配置日志发送方

vim /etc/rsyslog.conf

*.*             &＃64;172.25.0.11        ##通过udp协议把日志发送到11主机&＃xff0c;&＃64;udp&＃xff0c;&＃64;&＃64;tcp

说明&＃xff1a;1配置格式中“*.*”第一个星号表示日志分类&＃xff0c;来源&＃xff0c;比如关于内核knel&＃xff0c;邮件mail的&＃xff0c;第二个星号表示优先级别的&＃xff0c;比如emerge&＃xff0c;alert&＃xff0c;erro等

说明&＃xff1a;2 &＃64;ip表示使用udp传输协议&＃xff0c;特点不是很可靠但效率高&＃xff0c;&＃64;&＃64;ip&＃xff0c;表示使用TCP协议传输&＃xff0c;安全可靠

​编辑

2. 配置日志接受方

打开日志接受端口

15 $ModLoad imudp            ##日志接收插件

16 $UDPServerRun 514            ##日志接收插件使用端口

​编辑

$ netstat -anulpe | grep rsyslog
udp        0      0 0.0.0.0:514             0.0.0.0:*                           0          122073     32654/rsyslogd      
udp6       0      0 :::514                  :::*                                0          122074     32654/rsyslogd

测试

> /var/log/messages          

logger test message            

##日志发送方 

​编辑    

## 接受方&＃xff1a;

​编辑

netstat 参数解释&＃xff1a;

-a    ##all

-n    ##不做解析

-t    ##tcp

-u    ##udp

-p    ##进程名称

-e    ##扩展信息

日志采集格式&＃xff08;日志接受方&＃xff09;

$template WESTOS, "%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n"

%timegenerated%            ##显示日志时间

%FROMHOST-IP%            ##显示主机ip

%syslogtag%            ##日志记录目标

%msg%                ##日志内容

\n                ##换行

$ActionfileDefaultTemplate WESTOS

*.info;mail.none;authpriv.none;cron.none                /var/log/messages;<

3.日志分析工具journal

systemd-journald        ##进程名称

journalctl                    ##直接执行&＃xff0c;浏览系统日志

-n 3                            ##显示最新3条                

-perr                          ##显示报错

 -f                              ##监控日志

--since --until            ## --since "[YYYY-MM-DD] [hh:mm:ss]" 从什么时间到什么时间的日志

-o verbose                ##显示日志能够使用的详细进程参数

                                 ##_SYSTEMD_UNIT&＃61;sshd.service服务名称

                                ##_PID&＃61;1182进程pid

对systemd-journald管理

默认情况下,systemd 日志保存在 /run/log/journal 中 , 这意味着系统重启时会被清除,那如果将日志保存在/var/log/journal目录,这样做的优点是启动后就可以利用历史数据,形成永久日志

##默认情况下此程序会忽略重启前的日志信息&＃xff0c;如不忽略&＃xff1a;

mkdir /var/log/journal      ##新建/var/log下的目录journal             

chown root:systemd-journal /var/log/journal    ##该目录所有人为所有组

chmod 2755 /var/log/journal    ##设定权限2755&＃xff0c;

killall -1 systemd-journald      ##重新加载systemd-journald服务配置 

ls /var/log/journal/4513ad59a3b442ffa4b7ea88343fa55f

四、时间同步

1.服务端

yum install chrony -y    ##安装服务

vim /etc/chrony.conf    ##主配置文件21 # Allow NTP client access from local network.
22 allow 172.25.0.0/24    ##允许谁去同步我的时间
27 # Serve time even if not synchronized to any NTP server.
28 local stratum 10    ##不去同步任何人的时间&＃xff0c;时间同步服务器级别

​编辑

systemctl restart chronyd
systemctl stop firewalld

2.客户端

vim /etc/chrony.conf3 server 0.rhel.pool.ntp.org iburst4 server 1.rhel.pool.ntp.org iburst&＃61;&＃61;&＃61;&＃61;> server ntpserverip iburst5 server 2.rhel.pool.ntp.org iburst&＃61;&＃61;&＃61;&＃61;>6 server 3.rhel.pool.ntp.org iburst

​编辑

systemctl restart chronyd

3. 测试&＃xff1a;

查看时间同步服务器列表&＃xff1a;

[root&＃64;localhost ~]# chronyc sources -v210 Number of sources &＃61; 1.-- Source mode  &＃39;^&＃39; &＃61; server, &＃39;&＃61;&＃39; &＃61; peer, &＃39;#&＃39; &＃61; local clock./ .- Source state &＃39;*&＃39; &＃61; current synced, &＃39;&＃43;&＃39; &＃61; combined , &＃39;-&＃39; &＃61; not combined,
| /   &＃39;?&＃39; &＃61; unreachable, &＃39;x&＃39; &＃61; time may be in error, &＃39;~&＃39; &＃61; time too variable.
||                                                 .- xxxx [ yyyy ] &＃43;/- zzzz
||                                                /   xxxx &＃61; adjusted offset,
||         Log2(Polling interval) -.             |    yyyy &＃61; measured offset,
||                                  \            |    zzzz &＃61; estimated error.
||                                   |           |                         
MS Name/IP address         Stratum Poll Reach LastRx Last sample
&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;
^* 172.25.254.168                  10   6   377    41   &＃43;170us[ &＃43;201us] &＃43;/-  191us

4. 查看时间同步服务状态&＃xff1a;

[root&＃64;vm1 auto]# chronyc  trackingReference ID    : 771CB7B8 (119.28.183.184)
Stratum         : 3
Ref time (UTC)  : Sat Oct 15 07:08:05 2022
System time     : 0.000557771 seconds slow of NTP time
Last offset     : -0.000413856 seconds
RMS offset      : 0.000642908 seconds
Frequency       : 8.827 ppm slow
Residual freq   : -0.004 ppm
Skew            : 0.110 ppm
Root delay      : 0.058593057 seconds
Root dispersion : 0.005090646 seconds
Update interval : 1044.1 seconds
Leap status     : Normal

5.timedatectl命令

timedatectl        status            ##显示当前时间信息

            set-time        ##设定当前时间

            set-timezone        ##设定当前时区

            set-local-rtc 0|1    ##设定是否使用utc时间

​