【RH134知识点问答题】第 3 章：分析和存储日志

目录

1. RHEL 日志文件保存在哪个目录中？

2. 什么是 syslog 消息和非 syslog 消息？

3. 哪两个服务处理 RHEL 中的 syslog 消息？

4. 列举常用的系统日志文件并说明其存储的消息类型。

5. 简单说下日志文件轮转的作用。

6. systemd-journald 服务将日志数据存储在什么文件中？

7. 默认情况下，系统日志保存在哪里？如何配置持久系统日志？

8. Linxu 通过哪个服务来保证本地硬件时钟 (RTC) 保持正确运行？

---

1. RHEL 日志文件保存在哪个目录中？

答：系统日志保存在/var/log目录中

---

2. 什么是 syslog 消息和非 syslog 消息？

答：syslog消息：是通过syslog协议生成的日志消息，这些信息可以由系统服务、应用程序或设备产生，并被 syslog 守护进程统一管理；

   非 syslog 消息则是指那些不通过 syslog 协议发送的日志信息，它们可能直接由应用程序写入到特定的日志文件中

---

3. 哪两个服务处理 RHEL 中的 syslog 消息？

答：①rsyslog：传统的syslog服务，负责收集、过滤和存储日志到文件

②systemd-journald：systemd的日志服务，提供二进制日志存储和实时查询（通过journalctl访问）,可与rsyslog协同工作

---

4. 列举常用的系统日志文件并说明其存储的消息类型。

答：/var/log/messages：常规系统日志（服务启动、错误等）

/var/log/secure：安全性和认证相关日志（SSH、sudo 等）

/var/log/boot.log：系统启动过程相关的非syslog消息

/var/log/cron：定时任务执行记录/调度作业执行相关的

/var/log/maillog：与邮件服务器相关的syslog消息

---

5. 简单说下日志文件轮转的作用。

答：防止/var/log空间被占满（logrotate工具实现日志轮转）；每天都会计划运行logrotate程序，一般轮转4次，丢弃最久的日志文件，释放磁盘空间；轮转时重命名日志文件（添加时间戳），并创建新的日志文件

---

6. systemd-journald 服务将日志数据存储在什么文件中？

答：以二进制形式存储在/run/log目录（临时保存，系统重启会被清除）或 /var/log/journal（永久保存）

ps：即便是持久存储的数据，系统也会自动轮转删除日志，默认情况下，日志的大小不能超过所处文件系统的10%，也不能造成文件系统的可用空间低于15%

---

7. 默认情况下，系统日志保存在哪里？如何配置持久系统日志？

答：默认情况下，系统日志保存在 /var/log 目录中。为了配置持久系统日志，可以通过修改 /etc/systemd/journald.conf 文件来设置，例如，通过设置 Storage=persistent 选项来启用持久存储

Storage的参数有：persistent：永久保存在/var/log/journal

                 voltile：临时保存在/run/log/journal

                 auto(默认): 如果有/var/log/journal目录存在，则永久保存，如果没有则临时保存

---

8. Linxu 通过哪个服务来保证本地硬件时钟 (RTC) 保持正确运行？

答：chronyd服务通过与配置的NTP服务器进行同步，使通常不准确的本地硬件时钟（RTC）保持正确运行