Linux系統日誌管理

學習目標：

經過本實驗掌握centos7/rhel7下journalctl和rsyslog日誌工具的使用，創建經過查看日誌分析排錯的思路，以及日誌內容的查找，分類重定向的使用。

 

實驗步驟：

一、不配置本機IP地址，但試着啓動DHCP服務，會報錯

二、運行journalctl工具，從日誌中查找服務報錯的緣由

三、將特定時間的日誌，好比10:30到11:50之間，寫入systeminfo.txt文件

四、將特定類別的日誌，好比動做爲用戶登錄的信息，級別爲警告以上的信息經過rsyslog工具寫入/var/log/auth-errors

 

參考命令：

 

一、經過journalctl查看日誌進行排錯

 

 

 提示啓動服務失敗，經過journalctl查看細節

 

 

搜索和dhcp有關的信息

 

能夠看到由於本機網卡沒有配置ip地址，因此dhcp服務啓動失敗

也能夠用系統建議的journalctl -xe直接查看最新日誌，參數e爲日誌尾部，參數x爲附帶日誌信息的解釋說明（若是有的話）

 

 二、將特定時間段的系統日誌重定向到文件

 

journalctl --since 10:30:00  --until 11:50:00  > /home/server/systeminfo.txt

 

上面是一整條命令，無回車。

實驗時若是這段時間服務器未開啓，可更換其餘時間測試。

 

 

三、將特定類別的日誌重定向到文件

 

本操做使用rsyslog工具

第一步：

 

[root@localhost rsyslog.d]# echo "authpriv.alert /var/log/auth-errors" >/etc/rsyslog.d/auth-errors.conf

 

[root@localhost ~]# systemctl restart rsyslog

 

含義：

編輯rsyslog工具的配置文件auth-errors.conf，將authpriv（登錄驗證日誌，如ssh，ftp登錄信息），和alert（警告信息，出現故障需當即處理）兩種日誌發送到/var/log/auth-errors文件。

 

日誌類型和警告級別以下，這裏用到的類型爲authpriv，級別爲alert      

 

日誌類型

auth        –pam產生的日誌
authpriv    –ssh,ftp等登陸信息的驗證信息
cron        –時間任務相關
kern        –內核
lpr         –打印
mail        –郵件
mark(syslog)–rsyslog服務內部的信息,時間標識
news        –新聞組
user        –用戶程序產生的相關信息
uucp        –unix to unix copy, unix主機之間相關的通信
local 1~7   –自定義的日誌設備
日誌級別:
———————————————————————-
debug       –有調式信息的，日誌信息最多
info        –通常信息的日誌，最經常使用
notice      –最具備重要性的普通條件的信息
warning     –警告級別
err         –錯誤級別，阻止某個功能或者模塊不能正常工做的信息
crit        –嚴重級別，阻止整個系統或者整個軟件不能正常工做的信息
alert       –須要馬上修改的信息
emerg       –內核崩潰等嚴重信息
none        –什麼都不記錄

 

 

第二步

 

[root@localhost ~]# logger -p authpriv.alert "test111"

 

含義：logger爲手動添加系統日誌，-p爲設置這條日誌的類型和級別，後續是日誌的內容

 

tail –f ，觀察日誌是否同步發到指定文件。-f參數爲實時更新，文件有變化當即顯示在屏幕