1、Linux 7中日志的基本系统架构 进程和操作系统内核在发生事件时,对事件做相应的记录; RHEL7 当中有两个服务负责处理日志; journald 可以收集来自内核/启动过程/标准输出/系统日志/进程运行中期间的相关日志信息; 系统重启,日志消失; 默认的存储路径 /run/log/journal
rsyslog 可以根据服务类型和优先级分类日志进行保存; 系统重启后,日志不会消失; 默认的存储路径 /var/log /var/log/message 大多数syslog消息记录的位置 /var/log/secure 安全与认证相关的日志信息 /var/log/maillog 邮件相关日志信息 /var/log/corn 任务计划相关的日志 /var/log/boot.log
journalctl 查看journal 相关日志 2、查看 syslog文件条目 (1)日志的安全级别 rsyslog 它的配置后文件 /etc/rsyslog.conf 日志级别 可以通过 man rsyslog.config 查找相应的帮助信息 优先级 code 安全信息 debug 0 调试级别信息 Info 1 信息性事件 Notice 2 正常信息,有重要情况才会通知 Wanring 3 警告状况 Err 4 非常严重的错误情况 Crit 5 严重情况 Alert 6 必须要采取措施 Emerg 7 系统不可用 vim /etc/rsyslog.conf vim /etc/rsyslog.d
tail -f /var/log/secure tail -f /var/log/message
自定义日志文件(不太看得懂) cd /etc/rsyslog.d/ touch debugtest.conf vim debugtest.conf Local7.debug /var/log/debug-message Systemctl restart rsyslog.service Logger -p local7.debug “this is debug-message test” 日志的轮询: logrotate 防止日志文件空间被占满,会自动对日志文件做备份; 配置文件的位置 vim /etc/logrotate.conf
weekly 每周轮询一次 Hourly Daily datefomate Rotate 4 备份数量,备份四次 Create 是否创建新的日志文件 Dateext 是否写入日期 Compress 是否压缩日志文件 Missingok 日志轮询期间,出现错误被忽略
Include /etc/logrotate.d
/var/log/corn
/var/log/maillog
/var/log/messages
{ sharedscripts
Postrotate
Endscript }
Man logrotate
systemctl restart rsyslog.service
3、发现和解释日志记录在系统日志内容。
cd /run/log/jorunal jorunal 日志查看不是直接查看jorunal中的文件内容 Journal 日志自带索引功能
Journalctl 查看所有的journal 日志
Journalctl --跟选项
-f
--since “2016-10-15” --until “2016-10-16”
--priority 通过优先级类型过虑相关日志
--unit rsyslog.service
--unit sshd.service
_UID=1000
配置systemd-journald日志, 储存在磁盘上而不是在内存中的日志。 在/var/log 创建一个目录 journal mkdir journal 默认生成为root权限来管理该文件夹 Cat /etc/passwd | grep journal Cat/etc/group | grep journal Systemd-journal:x:190: 使用Systemd-journal组权限进行管理 chown :systemd-journal journal chmod 2755 jorunal/ ls -ld /run/log/journal Killall -USR1 systemd-journald
4、时间同步和时区配置 date -s 修改时间,临时生效
timedatectl 可以看见现在系统的时间状态 timedatectl set-time “2010-08-08 08:00:00” 设置时间,重启仍然生效 set-timezone Asia/Dubai tzselect 查询时区 查询timezone
NTP 网络时间协议,专门用于和网络进行时间服务同步时间; Timedatectl set-ntp true 打开ntp功能
NTP使用的服务名 chronyd.service NTP 服务的配置文件 vim /etc/chrony.conf sesrver classroom.example.com inbrust systemctl restart chronyd.service chronyc source -v 看客户端详细信息