linux系统日志管理

linux日志是非常重要的，不仅在日常操作中可以迅速排错，也可以快速的定位
日志保存的位置默认日志位于/var/log目录下
系统常用的日志

/var/log/messages ---> 服务信息日志
内核及公共信息日志，是许多进程日志文件的汇总

/var/log/secure ---> 系统登陆日志

记录用户和工作组的情况、用户登陆认证情况

/var/log/cron ---> 定时任务日志
记录一次性、周期性定时任务

/var/log/maillog ---> 邮件日志
记录邮件的收发

/var/log/boot.log ---> 系统启动日志
该文件记录了系统在引导过程中发生的事件

实验具体操作
/var/log/messages默认有日志，关闭日志采集功能，清空日志，开启日志服务功能，产生日志

rsyslog 日志管理服务
此服务是只是用来采集系统日志的，不产生日志
配置文件 ---> /etc/rsyslog.conf （日志采集规则在此设置）
指定日志采集路径，什么类型的日志.什么级别的日志

vim编辑 /etc/rsyslog.conf配置文件，添加日志路径/var/log/test文件为日志采集文件

查看/var/log/test倒数2行，新增日志

*.* ---- 存放日志文件
第一个*代表日志类型，第二个*代表日志级别
日志类型分为：
auth ---> pam产生的日志
authpriv ---> ssh,ftp等登录信息的验证信息
cron ---> 时间任务相关
kern ---> 内核
lpr ---> 打印
mail ---> 邮件
mark(syslog)–rsyslog ---> 服务内部的信息,时间标识
news ---> 新闻组
user ---> 用户程序产生的相关信息
uucp ---> unix to unix copy,unix主机之间相关的通讯
local 1~7 ---> 自定义的日志设备

日志级别分为：
debug ---> 有调式信息的，日志信息最多
info ---> 般信息的日志，最常用
notice ---> 最具有重要性的普通条件的信息
warning ---> 警告级别
err ---> 错误级别，阻止某个功能或者模块不能正常工作的信息
crit ---> 严重级别，阻止整个系统或者整个软件不能正常工作的信息
alert ---> 需要立刻修改的信息
emerg ---> 内核崩溃等严重信息
none ---> 什么都不记录

注：从上到下，级别从低到高，记录的信息越来越少
详细查看手册 ---> man 3 syslog

日志的远程同步

在日志发送方：
vim编辑 /etc/rsyslog.conf配置文件

书写格式. @172.25.254.200

注 ---> "@"表示udp协议发送，"@@"表示tcp协议发送
重启日志采集服务

清空日志并查看日志倒数2行，日志写入测试

在日志接收方：
vim编辑 /etc/rsyslog.conf配置文件
取消注释15和16行内容
15 $ModLoad imudp ---> 日志接收模块
16 $UDPServerRun 514 ---> 开启接收端口

systemctl restart rsyslog ---> 重启日志采集服务
systemctl stop firewalld ---> 关闭火墙
systemctl disable firewalld ---> 设定火墙开机关闭

清空日志文件,查看日志已经生成

日志采集格式的设置
$ActionFileDefaultTemplate ---> 全局引用命名的格式
$template TEST ---> 日志格式命名
%timegenerated% ---> 显示日志时间
%FROMHOST-IP% ---> 显示主机ip
%syslogtag% ---> 日志记录目标
%msg% ---> 日志内容
n ---> 换行
vim编辑 /etc/rsyslog.conf配置文件，更改日志采集格式

重启日志采集服务，清空日志并查看日志倒数2行，日志写入测试，查看日志倒数2行，产生新日志格式

journalctl ---> 日志查看工具

注 ---> journalctl是查看内存中日志，不存储
-n 3 ---> 查看最近2条日志

-p err ---> 查看错误日志

-o verbose ---> 查看日志的详细参数

journalctl ---> 查看时间段内的日志
--since ---> 查看从什么时间开始的日志
--until ---> 查看到什么时间为止的日志
查看 2019-07-20 9:50:11到 2019-07-20 10:50:11 的日志

使用systemd-journald保存系统日志
默认systemd-journald是不保存系统日志到硬盘的
那么关机后再次开机只能看到本次开机之后的日志
上以次关机之前的日志是无法查看的
创建日志目录/var/log/journal并赋予systemd-journal属组及sgid 强制位，查看目录详细属性
用kill信号1加载systemd-journal服务，查看目录属性，生成日志功能

再次开机后所有上次关机前的日志也会保存在硬盘中，查看日志已经生成