Linux 124课程 10、分析存储日志

原创

joe8888 2018-02-26 15:46:33 ©著作权

©著作权归作者所有：来自51CTO博客作者joe8888的原创作品，请联系作者获取转载授权，否则将追究法律责任

1、Linux 7中日志的基本系统架构　　进程和操作系统内核在发生事件时，对事件做相应的记录；　　　　RHEL7 当中有两个服务负责处理日志；　　journald 可以收集来自内核/启动过程/标准输出/系统日志/进程运行中期间的相关日志信息；系统重启，日志消失；默认的存储路径 /run/log/journal

　　rsyslog 可以根据服务类型和优先级分类日志进行保存；　　系统重启后，日志不会消失；默认的存储路径 /var/log 　　　　/var/log/message 大多数syslog消息记录的位置　　/var/log/secure 安全与认证相关的日志信息　　/var/log/maillog 邮件相关日志信息　　/var/log/corn 任务计划相关的日志　　/var/log/boot.log

　　journalctl 查看journal 相关日志 2、查看 syslog文件条目　　（1）日志的安全级别　　rsyslog 它的配置后文件 /etc/rsyslog.conf 　　　　日志级别可以通过 man rsyslog.config 查找相应的帮助信息　　优先级 code 安全信息　　debug 0 调试级别信息　　Info 1 信息性事件　　Notice 2 正常信息，有重要情况才会通知　　Wanring 3 警告状况　　Err 4 非常严重的错误情况　　Crit 5 严重情况　　Alert 6 必须要采取措施　　Emerg 7 系统不可用　　 vim /etc/rsyslog.conf vim /etc/rsyslog.d

tail -f /var/log/secure tail -f /var/log/message

　　自定义日志文件（不太看得懂）　　cd /etc/rsyslog.d/ 　　touch debugtest.conf 　　vim debugtest.conf 　　Local7.debug /var/log/debug-message 　　Systemctl restart rsyslog.service 　　Logger -p local7.debug “this is debug-message test” 　　　　日志的轮询： logrotate 　　防止日志文件空间被占满，会自动对日志文件做备份；　　配置文件的位置 vim /etc/logrotate.conf

weekly 每周轮询一次 Hourly Daily datefomate Rotate 4 备份数量，备份四次 Create 是否创建新的日志文件 Dateext 是否写入日期 Compress 是否压缩日志文件 Missingok 日志轮询期间，出现错误被忽略

Include /etc/logrotate.d
/var/log/corn /var/log/maillog /var/log/messages { sharedscripts 　　Postrotate 　　Endscript } 　　　　Man logrotate systemctl restart rsyslog.service

3、发现和解释日志记录在系统日志内容。

cd /run/log/jorunal jorunal 日志查看不是直接查看jorunal中的文件内容 Journal 日志自带索引功能

Journalctl 查看所有的journal 日志 Journalctl --跟选项 -f 　　--since “2016-10-15” --until “2016-10-16” 　　--priority 通过优先级类型过虑相关日志　　--unit rsyslog.service
　　--unit sshd.service
　　_UID=1000 　　

配置systemd-journald日志，储存在磁盘上而不是在内存中的日志。　　在/var/log 创建一个目录 journal 　　mkdir journal 默认生成为root权限来管理该文件夹　　Cat /etc/passwd | grep journal 　　Cat/etc/group | grep journal 　　Systemd-journal:x:190: 使用Systemd-journal组权限进行管理　　chown :systemd-journal journal 　　chmod 2755 jorunal/ 　　ls -ld /run/log/journal 　　　　Killall -USR1 systemd-journald

4、时间同步和时区配置 date -s 修改时间，临时生效

timedatectl 可以看见现在系统的时间状态 timedatectl set-time “2010-08-08 08:00:00” 设置时间，重启仍然生效　　 set-timezone Asia/Dubai 　　 tzselect 查询时区查询timezone

NTP 网络时间协议，专门用于和网络进行时间服务同步时间； Timedatectl set-ntp true 打开ntp功能

NTP使用的服务名 chronyd.service NTP 服务的配置文件 vim /etc/chrony.conf sesrver classroom.example.com inbrust systemctl restart chronyd.service chronyc source -v 看客户端详细信息