1.日志的采集规则

   采集日志是为了配置文件，分析日志解决服务器可能出现的部分问题；日志存在于内存中，rsyslog采集到硬盘 并保存，决定了日志采集的位置，但日志的内容由程序本身决定。

采集格式：日志类型.日志级别   文件名称

*.*               表示以下所有
日志类型：   
       auth       用户登录日志（pam产生日志）
       authpriv   服务认证日志（ssh认证）
       kern       内核日志
       cron       定时任务日志
       lpr        打印机日志
       mail       邮件
       news       新闻
       user       用户相关程序日志
       local 1-7  用户自定义日志
日志级别：
       debug     系统调试信息
       info      常规信息
       waring    警告信息
       err       报错（级别低，阻止了某个功能不能正常工作）
       crit      报错（级别高，组织整个软件或整个系统不能正常工作）
       alert     需要立即修改的信息
       emerg     内核崩溃

       none      不采集任何日志信息

    auth.debug  /var/log/westos    将用户登录的调试信息日志采集到/var/log/westos中
    *.*         /var/log/log.all   将所有日志类型的所有级别日志采集到/var/log/log.all中

系统常用日志
/var/log/messages     所有日志级别的常规信息（不包括邮件，服务认证，定时任务）
/var/log/maillog      邮件日志
/var/log/secure       服务认证日志
/var/log/cron         定时任务日志

2.日志的远程同步

    作用：作为一个运维人员对于一台主机日志的管理远简单于多台主机的日志管理。

   UDP与TCP的区别：UDP不需要应答、速度快、但不稳定（一般用于公司内部文件的传输;TCP需要应答、稳定但速度较慢。

    日志远程同步的做法步骤：

       在日志发送方：
                vim /etc/rsyslog.conf    更改配置文件
                *.*        @172.25.254.107   
               systemctl restart rsyslog   重启服务

     在日志接收方
            vim /etc/rsyslog.conf   更改配置文件
           15 $ModLoad imudp
           16 $UDPServerRun 514  UDP接收日志的接口

        systemctl  restart  rsyslog.service   重启服务
        systemctl  stop    firewalld          关闭火墙
        systemctl  disable  firewalld
        > /etc/rc.d/rc.local   实验之前清空

       

3.定义日志采集格式
   vim /etc/rsyslog.conf
   $template 格式名称，“日志采集格式“
   *.info;mail.none;authpriv.none;cron.none     /var/log/messages;westos

   $template westos,"%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n"
   %timegenerated%        日志生成时间
   %FROMHOST-IP%          日志来源的主机ip地址
   %syslogtar%            日志生成程序
   %msg%                  日志内容

   \n                     换行

  

4.journalctl 日志查看工具  直接查看

      journalctl -n 3              最新三行
      journalctl -p err            查看系统的报错日志
      journalctl -f                监控日志。用户ctrl+c结束监控

     

      journalctl--since   --until  时间段
      journalctl-o verbose         查看日志的详细参数
     

5.对systemd-journald管理
    默认此程序值负责对日志进行查看而不对日志进行采集和保存，那么关机后再开机，对日志进行查看只能查看开机之后的日志，系统之前的日志因为没有保存在内存中，所以关机之后就清空了

    如何用systemd-journald保存日志到硬盘中
        mkdir /var/log/journal
        chgrp sysytemd-journal  /var/log/journal
        chmod g+s /var/log/journal
        killall -1 systemd-journald

        journalctl -n 3
        date
        reboot

        journalctl

     

     

6.时间同步
在服务器端共享时间
vim /etc/chrony.conf
 29 local stratum 10   开启时间共享功能并设置共享级别
                       这个参数开启后本机不去同步别人的时间到本机
 22 allow 172.25.254.0/24 允许哪些客户端访问本机的共享时间
systemctl  restart chronyd

实验之前关闭服务端的火墙并重启sshd服务

在客户端：
  vim /etc/chrony.conf
  server 172.25.254.107 iburst

  systemctl restart chronyd

  chronyc sources -v

  

7.timedatectl
  timedatectl  查看当前时间

  timedatectl list-timezones     查看时间组

  timedatectl  set-timezone Asia/Shanghai   将时间改为亚洲上海时间
  timedatectl  set-local-rtc 0     表示主机使用的是UTC标准时间
  timedatectl  set-local-rtc 1     表示主机使用的是本地标准时间
  vim /etc/adjtime                 上面两个所修改的文件
  timedatectl set-time "2018-11-11 11:11:11"  修改当前主机的时间