Linux日志管理和时间管理

日志管理

rsyslog服务配置

配置文件位置

主配置：/etc/rsyslog.conf

主配置文件中以下配置作用是引入从配置目录中配置文件

include(file="/etc/rsyslog.d*.conf"mode="optional")

从配置：/etc/rsyslog.d/*.conf

日志记录规则

每一条日志消息可以通过消息类型facility（设备类型）和priority（优先级）分类

日志记录规则格式：facility+连接符号+priority

处理方式：

记录到文件

发送到终端

转发给其他服务器

配置文件内容

vim /etc/rsyslog.conf
command模式下搜索RULES

其中所有的信息级事件都存储在/var/log/message目录下，但是mail、authpriv和corn这三类设备的不存储在该目录下。

这三类分别对应

authpriv的所有级别日志都存储在/var/log/secure

mail的所有级别日志都存储在/var/log/maillog

cron的所有级别日志都存储在/var/log/corn

另外还有优先级最高的紧急类别也是单独存储的。

查看日志

tail -f /var/log/message 

日志内容说明

Jun 10 18:45:22 日志的产生时间
Rocky8          产生日志的主机名
dnf[9508]       产生日志的进程
AppStream       日志内容

rsyslog日志集中管理

多个客户端将日志发送给服务端，由服务端统计记录

vim /etc/rsyslog.conf 
取消注释，启动tcp监听

systemctl restart rsyslog.service

systemctl disable firewalld

echo '*.* @@10.1.8.10' > /etc/rsyslog.d/remote.conf # @@ 表示 TCP 传输
将本机所有日志通过tcp协议发送给远端服务器10.1.8.10
systemctl restart rsyslog.service
重启服务

* (第一个)|日志设施（Facility）：生成日志的子系统类型|auth, kern, mail, cron, local0 等

* (第二个)|日志优先级（Priority）：日志的严重级别|debug, info, notice, warn, error 等|

ssh root@server #ssh登录服务端
tail -f /var/log/secure  #? 为什么在secure中

systemd-journald日志

systemd-journald日志的持久化保存

vim /etc/systemd/journald.conf
更改storage（存储）参数
storage=persistent #将日志存储在/var/log/journal目录下，可持久化保留，如果不存在改该目录，systemd-journald服务会创建。
storage=volatile #将日志存储在/run/log/journal目录下，/run目录下的文件系统是临时的，不会持久化保留。
storage=auto #3存在用3 3不存在用4 不设置参数则为默认

模拟误操作

mv /etc/ssh/sshd_config . #移动/etc/ssh目录下的ssh配置文件到当前位置
systemctl restart sshd    #重启ssh服务
此时会运行报错，因为ssh服务的配置文件被移动到了当前目录

less /var/log/message
通过查看日志找出问题

cat /etc/ssh/sshd_config | grep -v '^$' | grep -v '^#'
在客户端中找到ssh服务配置文件并且去除注释行和空行，然后将内容复制到服务端的新建ssh_config文件中
再次重新启动服务，成功

时间管理

date命令

date -s '2025-6-10'  #设置为特定时间，以字符串形式表达

timedatectl命令

timedatectl

timedatectl set-ntp no #关闭自动对时
timedatectl set-timezone Asia/Shanghai #设置时区
tzselect 获取时区名称

自动对时-chronyd服务

vim /etc/chrony.conf
pool 2.rocky.pool.ntp.org iburst #时间池
注释掉时间池
server ntp.aliyun.com iburst #与单个服务器阿里云对时
systemctl enable chronyd
systemctl restart chronyd
chronyc sources -v #验证对时情况

部署时间服务器

需求：客户端与时间服务器对时

vim /etc/chrony.conf
bindaddress 10.1.8.10 #配置监听地址
allow 10.0.0.0/8 #配置允许哪些网段主机同步

systemctl restart chronyd

vim /etc/chrony.conf
#注释时间池
server 10.1.8.10 iburst #与服务器10.1.8.10对时
systemctl restart chronyd #重启服务

验证对时情况

chronyc sources -v