日志格式设定
%timegenerated% 显示日志时间
%FROMHOST-IP% 显示主机ip
%syslogtag%日志记录目标
%msg%日志内容
\n换行
测试
1.vim /etc/rsyslog.conf
$template LOGFMT, "%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n" ##设置一个LOGFMT的日志采集格式
将采集到的LOGFMT格式日志保存到/var/log/westos
2. systemctl restart rsyslog ##重启服务
3. cat /var/log/westos
测试结果显示采集到的日志为LOGFMT格式
修改默认的日志采集格式
1.vim /etc/rsyslog.conf
2.$ActionFileDefaultTemplate LOGFMT ##修改默认的日志采集格式为LOGFMT格式
3. systemctl restart rsyslog ##重启服务
4.tail -n 10 /var/log/messages
测试结果显示采集到的日志为LOGFMT格式
journalctl
journalctl ##日志查看工具
journalctl -n 3 ##查看最近的三条日志
journalctl -p err ##查看错误日志
journalctl -o verbose ##查看日志的详细参数,可以显示PID
journalctl --since ##查看从什么时候开始的日志
journalctl --until ##查看到什么时候为止的日志
journalctl --since --until ##查看两个时间段之间的日志
测试
journalctl
journalctl -n 3 ##查看最近的三条日志
journalctl -p err ##查看错误日志
journalctl -o verbose ##查看日志的详细参数,可以显示PID
journalctl --since ##查看从什么时候开始的日志
journalctl --since --until ##查看两个时间段之间的日志
使用systemd-journal保存系统日志
默认情况下systemd-journal是不保存系统日志到硬盘里的,所以当系统关机后再次开机只能看到本次开机后产生的日志,上次关机之前的日志是无法查看的,因此我们可以考虑将日志保存在硬盘中
1.建立一个日志保存目录,更改组权限,目的是让产生的所有进程都属于这个组
2.killall -1 /usr/lib/systemd/systemd-journald的目的是在不关闭进程的情况下重新加载该配置
2.重新启动后看文件的日志是否得到保存