Linux : 日志的管理与时钟同步的配置
一、日志管理
1. 日志服务
| 服务 | 特点 | 配置文件 |
|---|---|---|
journald |
临时日志(重启后丢失),二进制格式 | /etc/systemd/journald.conf |
rsyslog |
永久日志(文件存储),支持过滤转发 | /etc/rsyslog.conf |
2. 关键日志文件
| 文件 | 作用 |
|---|---|
/var/log/messages |
通用系统日志(默认存储位置) |
/var/log/dmesg |
系统引导过程的内核事件 |
/var/log/lastlog |
用户最近登录记录(lastlog命令查看) |
/var/log/wtmp |
成功登录事件(last命令查看) |
/var/log/btmp |
失败登录尝试(lastb命令查看) |
3. 日志优先级(升序)
| 级别 | 说明 |
|---|---|
debug |
调试信息(程序内部状态) |
info |
常规事件(服务启动等) |
notice |
需注意但非错误的事件 |
warning |
可能影响功能的警告 |
err |
运行时错误(非致命) |
crit |
严重错误(服务中断等) |
alert |
需立即处理的紧急问题 |
emerg |
系统不可用(内核崩溃等) |
示例:
logger -p local7.notice "Test Message"发送日志到local7设施。
4. 日志分析工具
实时监控:
tail -f /var/log/messages # 跟踪文件末尾 journalctl -f # 实时跟踪systemd日志按优先级过滤:
journalctl -p err -n 20 # 显示最近20条错误及以上日志按时间范围查询:
journalctl --since "09:00" --until "12:00" journalctl --since -1h # 过去1小时日志按进程/用户过滤:
journalctl _COMM=sshd # 查看SSH进程日志 journalctl _UID=1000 # 查看UID=1000的用户日志
5. 用户登录日志
| 命令 | 数据源 | 用途 |
|---|---|---|
last |
/var/log/wtmp |
成功登录历史 |
lastb |
/var/log/btmp |
失败登录尝试 |
w |
实时进程 | 当前登录用户及操作 |
who |
/var/run/utmp |
当前登录用户 |
二、时钟同步(Chrony)
服务端配置:
修改
vim /etc/chrony.conf:# 允许网段同步 allow 192.168.100.0/24 # 本地作为时间源 local stratum 10
重启服务并关闭防火墙:
systemctl restart chronyd systemctl stop firewalld sysytemctl disable firewalld
客户端配置:
指向服务端:
vim /etc/chrony.conf server 192.168.100.10 iburst # iburst加速初始同步
重启服务并写入硬件时钟:
systemctl restart chronyd systemctl enable chronyd # 立即同步时间 hwclock -w
诊断命令:
chronyc sources -v # 查看同步源状态
chronyc tracking # 检查时间偏移量
timedatectl # 显示时区/NTP状态
三、关键补充
时区设置:
timedatectl set-timezone Asia/Shanghai手动修改时间:
timedatectl set-time "2025-5-01 12:00:00" # 或 date -s "2025-5-01 12:00:00"