2023年6月30日发(作者：)

系统⽇志的了解⼀、什么是系统⽇志？是记录系统中硬件、软件和系统问题的信息，同时还可以监视系统中发⽣的事件。⽤户可以通过它来检查错误发⽣的原因，或者寻找受到攻击时攻击者留下的痕迹。包括、应⽤程序⽇志和安全⽇志。系统⽇志的分类1·应⽤程序⽇志：记录应⽤程序或⼀般程序的事件。2·安全性⽇志：可以记录例如有效和⽆效的登录尝试等安全事件，以及与资源使⽤有关的事件。例如创建、打开或删除⽂件以及有关设置的修改。3·系统⽇志：包含由linux系统组件记录的事件，例如，在系统⽇志中记录启动期间要加载的驱动程序或其他系统组件的故障4.系统邮件信息服务相关的⽇志5.与定时任务相关的⽇志⽂件⼆、rsyslog服务（采集和存放⽇志）rsyslog是⼀个开源⼯具，被⼴泛⽤于linux系统以通TCP/UDP协议转发或接受⽇志⽂进阿消息。rsyslog服务的主配置⽂件为 /etc/，指定⽇志保存位置修改配置⽂件，修改后重启rsyslog服务⽣效。⽇志的采集的分类与级别

类型 级别authpam产⽣的⽇志ssh，ftp等登陆信息的验证信息时间⼈物相关内核debug有调试信息的，⽇志信息量最多authprivinfo⼀般信息的⽇志，最常⽤cronkernnoticewarning最具有重要⾏的普通条件的信息警告级别错误级别，阻⽌某个功能或者模块不lpr打印err能正常⼯作的信息mail邮件crit严重级别，阻⽌整个系统或整个软件不能正常⼯作的信息mark(syslog)-rsyslognewsuser服务内部的信息，时间标识新闻组⽤户程序产⽣的相关信息unix to unix copy, unix主机之间相关的通讯⾃定义的⽇志设备alertemergnone需要⽴即修改信息内核崩溃等严重信息什么都不记录注意：从上到下，级别从⾼到底，记录的信息越来越少。

uucp

local 1~7

⽇志采集格式的设定vim /etc/$template LOGFMT, "%timegenerated% %FROMHOST-IP% %syslogtag% %msg%n"%timegenerated% 显⽰⽇志时间%FROMHOST-IP% 显⽰主机ip%syslogtag% ⽇志记录⽬标%msg% ⽇志内容n 换⾏例⼦：创建⼀个采集所有类型和接收所有级别的⽇志⽂件westos

三、⽇志的远程同步⽇志的远程同步需要两台主机进⾏操作，发送⽅要做的vim /etc/

*.* @172.25.254.10 “@"表⽰udp协议发送，“@@”表⽰tcp协议发送systemctl restart rsyslog 重启rsyslog接收⽅要做的：vim /etc/15 $ModLoad imudp ⽇志接收模式块16 $UDPServerRun 514 开启接收端⼝systemctl restart rsyslogsysytemctl stop firewalld 关闭防⽕墙注释掉udp的参数，如上图所⽰四、⽇志的时间同步服务名称： chronyd在服务端的操作内容vim /etc/22 allow 172.25.254.0/24 允许那些客户端来同步本机时间

29 local stratum 10 本机不同步任何主机的时进，本机作为时间源systemctl restart chronyd

timedatectl set-timezone Asia/Shanghai 更改当前时区为东8区 在客户端操作内容vim /etc/rver 172.25.254.10 iburst 本机⽴即同步200主机的时间systemctl restart chronyd

timedatectl set-timezone Asia/Shanghai 更改当前时区为东8区在客户机上做个测试timedatectl 命令timedatectl 管理系统时间timedatectl status 显⽰当前时间信息 set-time 设定当前时间 set-timezone 设置当前时区 set-local-rtc 0 | 1 设定是否使⽤utc时间 list-timezone 查看⽀持的所有时区⽇志的查看⼯具journalctl

-n 3 查看最近3条⽇志 -p err 查看错误⽇志 -o verbose 查看⽇志的详细参数 --since 查看从什么时间开始的⽇志 -- until 查看到什么时间为⽌的⽇志