Chapter10 - Analyzing and Storing Logs
Analyzing and Storing Logs
| *.info;mail.none;authpriv.none;cron.none | 常规日志 | messages |
|---|---|---|
| authpriv.* | 认证日志 | secure |
| mail.* | 邮件日志 | maillog |
| cron.* | 任务计划 | cron |
| local7.* | 启动信息 | boot.log |
| uucp,news.crit | 新闻类错误 | spooler |
| kern.* | 内核类 | /dev/console |
可以在/etc/rsyslog.conf里配置额外的日志文件,类型如下表,例如
*.debug /var/log/messages.debug
journalctl
/run/log/journal 默认位置重启后会清除
如果/var/log/journal 存在,则journalctl 会将日志存放过来,存储大小一般不超过当前文件系统的10%,所以要保留15%的空间
/var/log/journal 文件的权限
chown root:systtemd-journal /var/log/journal
chmod 2755 /var/log/journal
drwxr-sr-x. 2 root systemd-journal 6 4月 9 16:33 journal/重启journald服务:
killall -USR1 systemd-journald或 reboot
==========================================================
journalctl -n 5 #显示最后5条
journalctl -p err #指定日志的优先级类型
journalctl -f #等同于 tail -f指定日志的日期:
journalctl --since today
journalctl --since 15:30:00 --until 15:35:00
journalctl --since "2018-04-09 15:30:00" --until "2018-04-09 16:00:00"查看详情,可是加在其它参数后面或者前面
journalctl -o verbose
journalctl _SYSTEMD_UNIT=sshd.service _PID=1182 #查看指定进程或服务的日志
journalctl --since 15:00:00 _SYSTEMD_UNIT=sshd.service==========================================================
rsyslog
- /etc/rsyslog.conf
- /etc/rysylog.d/*.conf
man 5 rsyslog.confhttp:// /usr/share/doc/rsyslog-*/manual.html
==========================================================
logrotate 日志轮巡
/etc/logrotate.conf
/etc/logrotate.d/*.conf
==========================================================
标准rsyslog格式
Apr 9 14:59:44 client systemd: Starting Session 2 of user root.
#发生的日期 主机 产生日志的程序 :日志内容==========================================================
logger 程序生成日志记录到文件
logger -p local7.notice "Log entry created on ServerX" #生产notice 日志
logger -p user.debug "debug message test" #产生debug 日志==========================================================
时间的维护:
tzselect #交互式设备时区tz=timezone
timedatectl
timedatectl list-timezones
timedatectl set-timezone America/Phoenix
timedatectl set-timezone Asia/Shanghai
timedatectl set-time 9:00:00 #(YYYY-MM-DD hh:mm:ss)
timedatectl set-ntp true/false==========================================================
Configuring chronyd
/etc/chrony.conf
修改文件中的服务器位置
chronyc souces -v #验证NTP服务器,并显示详情ntpd、ntpq 在Redhat7以前使用,用来管理NTP服务器