系統日誌
一.系統日誌預設分類

/var/log/messages    ##系統服務及日誌，包括服務的資訊，報錯等等
/var/log/secure        ##系統認證資訊日誌
/var/log/maillog    ##系統郵件服務資訊
/var/log/cron        ##系統定時任務資訊
/var/log/boot.log    ##系統啟動資訊

二.日誌管理服務rsyslog

1.rsyslog負責採集日誌和分類存放日誌
2.rsyslog日誌分類

vim /etc/rsyslog.conf    ##主配置檔案

服務.日誌級別        /存放檔案
*      .     *               /var/log/westos

systemctl restart rsyslog

格式

日誌裝置(型別).(連線符號)日誌級別   日誌處理方式(action)

####日誌裝置(可以理解為日誌型別):####
auth                ##pam產生的日誌
authpriv            ##ssh,ftp等登入資訊的驗證資訊
cron                ##時間任務相關
kern                ##核心
lpr                 ##列印
mail                ##郵件
mark(syslog)–rsyslog    ##服務內部的資訊,時間標識
news                ##新聞組
user                ##使用者程式產生的相關資訊
uucp                ##unix to unix copy, unix主機之間相關的通訊
local 1~7           ##自定義的日誌裝置

日誌級別

debug               ##有調式資訊的，日誌資訊最多
info                ##般資訊的日誌，最常用
notice              ##最具有重要性的普通條件的資訊
warning             ##警告級別
err                 ##錯誤級別，阻止某個功能或者模組不能正常工作的資訊
crit                ##嚴重級別，阻止整個系統或者整個軟體不能正常工作的資訊
alert               ##需要立刻修改的資訊
emerg               ##核心崩潰等嚴重資訊
none                ##什麼都不記錄

注意：從上到下，級別從低到高，記錄的資訊越來越少
詳細的可以檢視手冊: man 3 syslog

連線符號
.xxx: 表示大於等於xxx級別的資訊
.=xxx：表示等於xxx級別的資訊
.!xxx：表示在xxx之外的等級的資訊

例項
1. 記錄到普通檔案或裝置檔案::
*.*     /var/log/file.log       # 絕對路徑
*.*     /dev/pts/0
測試: logger -p local3.info ‘KadeFor is testing the rsyslog and logger ‘   logger 命令用於產生日誌

2. 傳送給使用者(需要線上才能收到)
*.*   root
*.*   root,kadefor,up01         # 使用,號分隔多個使用者
*.*   *                     # *號表示所有線上使用者

3. 忽略,丟棄
local3.*   ~                # 忽略所有local3型別的所有級別的日誌

4. 執行指令碼::
local3.*    ^/tmp/a.sh          # ^號後跟可執行指令碼或程式的絕對路徑
                # 日誌內容可以作為指令碼的第一個引數.
                #  可用來觸發報警
            

日誌同步

systemctl stop firewalld         ##關閉兩臺主機的火牆(接受方必須關閉)

配置日誌傳送方（vim /etc/rsyslog.conf，結束後重新載入。）
*.*             @172.25.0.11        ##通過udp協議把日誌傳送到11主機，

@udp（速度快。安全性低），@@tcp

配置日誌接受方
15 $ModLoad imudp            ##日誌接收外掛
16 $UDPServerRun 514            ##日誌接收外掛使用埠


netstat -anulpe | grep rsyslog
udp        0      0 0.0.0.0:514             0.0.0.0:*                           0          122073     32654/rsyslogd      
udp6       0      0 :::514                  :::*                                0          122074     32654/rsyslogd      
-a    ##all
-n    ##不做解析
-t    ##tcp
-u    ##udp
-p    ##程序名稱
-e    ##擴充套件資訊
測試
> /var/log/messages            ##兩邊都作
logger test message            ##日誌傳送方

tail -f /var/log/message        ##日誌接收方


####日誌採集格式####
$template WESTOS, "%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n"

%timegenerated%            ##顯示日誌時間
%FROMHOST-IP%            ##顯示主機ip
%syslogtag%            ##日誌記錄目標
%msg%                ##日誌內容
\n                ##換行

$ActionfileDefaultTemplate WESTOS

*.info;mail.none;authpriv.none;cron.none                /var/log/messages;<<WESTOS>>



3.日誌分析工具journal

systemd-journald        ##程序名稱

journalctl            ##直接執行，瀏覽系統日誌
-n 3                ##顯示最新3條

               
-p err                ##顯示報錯
-f                ##監控日誌

--since --until            ## --since "[YYYY-MM-DD] [hh:mm:ss]" 從什麼時間到什麼時間的日誌
-o verbose            ##顯示日誌能夠使用的詳細程序引數

                ##_SYSTEMD_UNIT=sshd.service服務名稱
                ##_PID=1182程序pid


對systemd-journald管理
##預設情況下此程式會忽略重啟前的日誌資訊，如不忽略：
mkdir /var/log/journal
chown root:systemd-journal /var/log/journal
chmod 2755 /var/log/journal
killall -1 systemd-journald
ls /var/log/journal/4513ad59a3b442ffa4b7ea88343fa55f
system.journal user-1000.journal

4.時間同步

1.服務端
yum install chrony -y    ##安裝服務

vim /etc/chrony.conf    ##主配置檔案

21 # Allow NTP client access from local network.
22 allow 172.25.0.0/24    ##允許誰去同步我的時間
27 # Serve time even if not synchronized to any NTP server.
28 local stratum 10    ##不去同步任何人的時間，時間同步伺服器級別

systemctl restart chronyd
systemctl stop firewalld

2.客戶端
vim /etc/chrony.conf
  3 server 0.rhel.pool.ntp.org iburst
  4 server 1.rhel.pool.ntp.org iburst====> server ntpserverip iburst
  5 server 2.rhel.pool.ntp.org iburst====>
  6 server 3.rhel.pool.ntp.org iburst

systemctl restart chronyd

測試：
[[email protected] ~]# chronyc sources -v
210 Number of sources = 1

  .-- Source mode  '^' = server, '=' = peer, '#' = local clock.
 / .- Source state '*' = current synced, '+' = combined , '-' = not combined,
| /   '?' = unreachable, 'x' = time may be in error, '~' = time too variable.
||                                                 .- xxxx [ yyyy ] +/- zzzz
||                                                /   xxxx = adjusted offset,
||         Log2(Polling interval) -.             |    yyyy = measured offset,
||                                  \            |    zzzz = estimated error.
||                                   |           |                         
MS Name/IP address         Stratum Poll Reach LastRx Last sample
===============================================================================
^* 172.25.0.11                  10   6   377    41   +170us[ +201us] +/-  191us



####5.timedatectl命令####
timedatectl        status            ##顯示當前時間資訊

           

 set-time        ##設定當前時間

  

set-timezone        ##設定當前時區

            set-local-rtc 0|1    ##設定是否使用utc時間