日志的查看与管理
日志管理
日志查看
- 大多数以文本文件的方式记录日志,保存在 /var/log 目录中
- 用 syslog 协议的标准日志记录系统协议的标准日志记录系统,日志的分类和分级别
-Systemd-journald 是记录操作系统日志的核心服务,包含内核、引导进程、守护进程等,默认 情况这些日志在 /run/log 中保存,系统重启后就会丢失
journalctl
journalctl 能查看所有的日志
- root 权限才能查看
journalctl: 检索所有日志消息,root 用户具有完全访问权限
journalctl -n 5: 显示最后 5 个日志
journalctl -f: 输出日志最后 10 行,并动态刷新日志信息
journalctl -p err: 列出优先级为 err 或以上的日志
journalctl --since today: 列出今天的日志
journalctl --since "2019-02-10 20:00:00" --until "2019-02-12 12:00:00"
journalctl -o verbose: 详细输出
journalctl _SYSTEMD_UNIT=sshd.service _PID=1182: 常用字段过滤(这条命令用了两个字段过滤)
_COMM: 命令名称 _EXE: 进程可执行文件路径 _PID: 进程 PID
_UID: 进程的用户 ID _SYSTEMD_UNIT: 启动进程的 systemd 单元
日志的持久化存储(/run/log/)
- 默认情况下,系统日志保存在 /run/log/journal 目录中,系统重启会被清除
- 修改配置文件 /etc/systemd/journald.conf 使日志系统重启保留
- 设置 storage 参数:persistent 永久保存、volatile 易失性、
- 默认情况storage=auto:由 rsyslog 决定是否存储,主要看有没有 /var/log/journal 目录是否存在
- 持久日志的优点是系统启动后立即使用历史数据
- 即便是持久存储的数据,系统也会自动轮转删除日志
- 日志大小超过文件系统的 10%
- 或者存储空间低于 15% 也会被自动清理
NTP同步时间
系统时间:官方建议,一定要跟 NTP 去同步时间
- 用统一的时间,日志的时间戳也是统一的,分析定位问题的时候,就会找到故障的时间点
- 很多证书是要看有效期的,统一的时间证书一般不会出问题
NTP 如何配置
- rpm -qa chron* ---->chrony-4.1-3.el9.x86_64
- yum install chrony-4.1-3.el9.x86_64
-vim /etc/chrony.conf ---- 出现这个文件
server 172.25.254.254 iburst ---- 修改文件
-systemctl restart chronyd.service ---- 重启服务
chronyc sources --- 验证NTP时间同步
^* 代表同步成功