【Linux】章3 分析和存储日志（RH134知识点问答题）

1、RHEL 日志文件保存在哪个目录中？

答：

系统日志保存在/var/log/目录下

2、什么是 syslog 消息和非 syslog 消息？

答：

syslog 消息：遵循标准 syslog 协议格式的日志，包含设施（facility）、级别（level）、时间、主机、进程、内容，由syslog 守护进程统一管理。

非 syslog 消息：不遵循 syslog 格式，由程序自己直接写入日志文件的日志，比如 Apache、MySQL 自己的日志。

3、哪两个服务处理 RHEL 中的 syslog 消息？

答：

systemd-journald：systemd的日志服务，收集内核、系统、服务日志，存为 journal 日志。

rsyslog：接收 journald 转发的消息，并按规则写入传统文本日志。

分类存日志

4、列举常用的系统日志文件并说明其存储的消息类型。

答：

/var/log/messages：大部分常规，服务启动、错误等

/var/log/secure：安全相关、身份认证、su、sudo

/var/log/cron：周期性作业

/var/log/boot.log：系统启动

/var/log/maillog：邮件

5、简单说下日志文件轮转的作用。

答：

防止日志文件无限变大占满磁盘

自动切割、压缩、归档旧日志

6、systemd-journald 服务将日志数据存储在什么文件中？

答：

默认存放在：/run/log/journal/（重启丢失）

开启持久化后存放在：/var/log/journal/

即便是持久存储的数据，系统也会自动轮转删除日志，默认情况下，日志的大小不能超过所处文件系统的10%，也不能造成文件系统的可用空间低于15%

7、默认情况下，系统日志保存在哪里？如何配置持久系统日志？

答：

默认：日志保存在/run/log/journal/，重启丢失。

配置持久化：

创建目录：mkdir -p /var/log/journal

修改配置文件 /etc/systemd/journald.conf

重启服务：systemctl restart systemd-journald

8、Linxu 通过哪个服务来保证本地硬件时钟 (RTC) 保持正确运行？

答：

chronyd服务通过与配置的NTP服务器进行同步，使通常不准确的本地硬件时钟（RTC）保持正确运行