分析日志;排查系统故障
1.分析日志:
1)了解日志:
日志:记录系统和程序运行的信息,用于排查故障和诊断系统状态。
日志的分类:内核及系统日志一般有rsyslog进行统一管理;用户日志记录用户行为日志;程序日志一般独立管理。
2)常见的日志文件及其作用:
/var/log/messages 包括内核及系统日志,大多的日志都在这文件中。推荐使用命令:tail -f /var/log/messages 或者:less /var/log/messages
/var/log/cron 计划任务的日志
/var/log/dmesg 启动过程的日志,一般系统的硬件加载过程中的信息都会被记录。推荐命令:grep error /var/log/dmesg(检查启动过程是否有错误)
/var/log/secure 用户认证相关的信息
3)内核、系统、用户日志的的集中管理:rsyslog
rpm -qa |grep rsyslog
rpm -ql rsyslog
man 5 rsyslog.conf ##配置文件的帮助
vi /etc/rsyslog.conf ##调整日志的记录行为
#rules(规则):
设备.优先级 日志存放位置(文件/IP)
设备:auth(认证,与security相同),cron(计划任务),kern(内核),mail(邮件),user(用户),local0-local7(用户自定义日志存放位置)
优先级:严重级别重第到高--debug(调试)--info(信息)--notice(注意)--warn(提醒)--error(错误)--crit(严重)--alert(警告)--emerg(紧急,等于panic(恐慌))
:可以表示所有的设备或者优先级
;--》隔开多个区域
.info;mail.none;authpriv.none;cron.none /var/log/messages #将所有设备产生的info及以上级别的日志记录在/var/log/messages中,但mail.none等排除了邮件、计划任务、认证日志。
authpriv.* /var/log/secure ##将所有认证日志记录在文件中
:wq
/etc/init.d/rsyslog restart
chkconfig rsyslog on ##设置为开机启动
4)查看日志文件:
tail -1 /var/log/messages
时间标签:主机名或IP:程序或设备:日志内容
tail -2 /var/log/secure ##查看登陆日志
last ##查看登陆成功日志
lastb ##查看登陆失败的日志
常用分析日志的工具:vi,less,tail,awk,sed,其他编程工具。
5)日志管理策略:
备份,控制访问权限,集中管理,延长保留期限。
经常关注:联网日志、文件传输日志、用户登陆记录日志。
修改root密码:
reboot-->按下键-->e-->下键选择kernel-->e-->输入空格1-->回车-->b-->进入单用户模式:passwd root修改密码-->init 3
本文转自信自己belive51CTO博客,原文链接:http://blog.51cto.com/11638205/2043786 ,如需转载请自行联系原作者