學習目標: 通過本實驗掌握centos7/rhel7下journalctl和rsyslog日誌工具的使用,建立通過查看日誌分析排錯的思路,以及日誌內容的查找,分類重定向的使用。 實驗步驟: 1、不配置本機IP地址,但試著啟動DHCP服務,會報錯 2、運行journalctl工具,從日誌中查找服務報錯 ...
學習目標:
通過本實驗掌握centos7/rhel7下journalctl和rsyslog日誌工具的使用,建立通過查看日誌分析排錯的思路,以及日誌內容的查找,分類重定向的使用。
實驗步驟:
1、不配置本機IP地址,但試著啟動DHCP服務,會報錯
2、運行journalctl工具,從日誌中查找服務報錯的原因
3、將特定時間的日誌,比如10:30到11:50之間,寫入systeminfo.txt文件
4、將特定類別的日誌,比如動作為用戶登陸的信息,級別為警告以上的信息通過rsyslog工具寫入/var/log/auth-errors
參考命令:
1、通過journalctl查看日誌進行排錯
提示啟動服務失敗,通過journalctl查看細節
搜索和dhcp有關的信息
可以看到因為本機網卡沒有配置ip地址,所以dhcp服務啟動失敗
也可以用系統建議的journalctl -xe直接查看最新日誌,參數e為日誌尾部,參數x為附帶日誌信息的解釋說明(如果有的話)
2、將特定時間段的系統日誌重定向到文件
journalctl --since 10:30:00 --until 11:50:00 > /home/server/systeminfo.txt
上面是一整條命令,無回車。
實驗時如果這段時間伺服器未開啟,可更換其他時間測試。
3、將特定類別的日誌重定向到文件
本操作使用rsyslog工具
第一步:
[root@localhost rsyslog.d]# echo "authpriv.alert /var/log/auth-errors" >/etc/rsyslog.d/auth-errors.conf
[root@localhost ~]# systemctl restart rsyslog
含義:
編輯rsyslog工具的配置文件auth-errors.conf,將authpriv(登陸驗證日誌,如ssh,ftp登陸信息),和alert(警告信息,出現故障需立即處理)兩種日誌發送到/var/log/auth-errors文件。
日誌類型和警告級別如下,這裡用到的類型為authpriv,級別為alert
日誌類型
auth –pam產生的日誌
authpriv –ssh,ftp等登錄信息的驗證信息
cron –時間任務相關
kern –內核
lpr –列印
mail –郵件
mark(syslog)–rsyslog服務內部的信息,時間標識
news –新聞組
user –用戶程式產生的相關信息
uucp –unix to unix
copy, unix主機之間相關的通訊
local 1~7 –自定義的日誌設備
日誌級別:
———————————————————————-
debug –有調式信息的,日誌信息最多
info –一般信息的日誌,最常用
notice –最具有重要性的普通條件的信息
warning –警告級別
err –錯誤級別,阻止某個功能或者模塊不能正常工作的信息
crit –嚴重級別,阻止整個系統或者整個軟體不能正常工作的信息
alert –需要立刻修改的信息
emerg –內核崩潰等嚴重信息
none –什麼都不記錄
第二步
[root@localhost ~]# logger -p authpriv.alert "test111"
含義:logger為手動添加系統日誌,-p為設置這條日誌的類型和級別,後續是日誌的內容
tail –f ,觀察日誌是否同步發到指定文件。-f參數為實時更新,文件有變化立即顯示在屏幕
