一、系统日志默认分类

/var/log/messages   ##存放系统服务及日志，包括服务的信息，报错

/var/log/secure    ##存放系统认证信息日志

/var/log/maillog    ##存放系统邮件服务信息

/var/log/cron      ##存放系统定时任务信息

/var/log/boot.log   ##存放系统启动信息

二、日志管理服务rsyslog

 1.rsyslog负责采集日志和分类存放日志

 2.rsyslog日志分类

 vim /etc/rsyslog.conf   ##主配置文件

 服务.日志级别          存放文件

 *.*         /var/log/westos

 

 systemctl restart rsyslog     ##重启日志采集服务

三、日志类型

 auth       ##pam产生的日志

 authpriv    ##ssh.ftp等登录信息的验证信息

 cron       ##时间任务相关

 kern       ##内核

 lpr        ##打印

 mail       ##邮件

 mark（syslog）-rsyslog    ##服务内部的信息，时间标识

 news       ##新闻组

 user       ##用户程序产生的相关信息

 uucp       ##unix to unix copy，unix主机之间的相关通讯

 local 1-7    ##自定义的日志设备

四、日志级别

 debug     ##有调试信息的，日志信息最多

 info     ##一般信息的日志，最常用

 notice    ##最具有重要性的普通条件的信息

 warning    ##警告级别

 err       ##错误级别，阻止某个功能或者模块不能正常工作的信息

 crit      ##严重级别，阻止整个系统或者整个软件不能正常工作的信息

 alert     ##需要立刻修改的信息

 emerg     ##内核崩溃等严重信息

 none     ##什么都不记录

五、连接符号

.xxx：表示大于等于xxx级别的信息

.=xxx：表示等于xxx级别的信息

.!xxx：表示在xxx之外的等级的信息

六、实例

 1.记录到普通文件或者设备：

 

 2.发给用户（需要用户在线）

 *.*  root，kiosk，student      ##使用，号分割多个用户

 *.*  *                   ## *表示所有在线用户

 3.忽略，丢弃

 local3.*    ~        ##忽略所有local3类型的所有级别的日志

 4.执行脚本

local3.*   ^/tmp/a.sh      ##^号后跟可执行脚本或者程序的绝对路径

                    ##日志内容可以作为脚本的第一个参数

                    ##可用来触发报警

七、日志同步

 systemctl stop firewalld     ##关闭两台主机的防火墙

 配置日志发送方：

 

 *.*    @172.25.254.100    ##通过udp协议把日志发送到100主机，@udp，@@tcp

  ###udp协议传输速度快但是安全性差，tcp协议安全性好但是速度比udp慢

 配置日志接收方：

 

 测试：

 logger test          ##日志发送方

 

 八、日志采集格式

 $template WESTOS,"%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n"

 %timegenerated%              ##显示主机日志时间

 %FROMHOST-IP%               ##显示主机ip

 %syslogtag%                 ##日志记录目标

 %msg%                     ##日志记录内容

 \n                       ##换行

九、日志分析工具

 systemd-journald       ##进程名称

 

 ##journalctl   ##直接执行，浏览系统日志

 

 ##journalctl -n 3   ##显示最新三条

 

 ##journalctl   ##显示报错

 

 ##journalctl -f  ##监控日志

 

 ##journalctl  --since 01:30    ##显示1.30以后的日志

 

 ##journalctl -o verbose ##显示日志能够使用的详细进程参数

 

#####对systemd-journald管理

  默认情况下此程序会自动忽略重启签的日志信息，如不忽略：

  mkdir /var/log/journal

  chown root:systemd-journal /var/log/journal

  chmod 2755 /var/log/journal

  killall -1 systemd-journald

  ls /var/log/journal/----

  system.journal user-1000.hournal

十、时间同步

 1.服务端

 yum install chrony -y   ##安装服务

 vim /etc/chrony.conf

 

  ##22行  ：允许谁去同步我的时间

  ##29行  : 不去同步任何人的时间 

systemctl restart chronyd

systemctl stop firewalld

 2.客户端

 vim /etc/chrony.conf

 

 

 ##从哪台服务端去同步时间

 systemctl restart chronyd

 测试：

  

十一、timedatectl命令

  

  ##显示当前时间信息

 

  ##设定当前时间信息

 

  ##设定是否使用utc时间

 

  ##设定当前时区