10-Linux系统管理-系统故障分析和排查v1.0课件.ppt

* * 2、主要包括时间、命令2个大部分，时间部分又分为5段，每行记录包括：分、时、日、月、周、命令行 3、系统用户配置文件：/etc/cron.d/；普通用户配置文件：/var/spool/cron/用户名 * 介绍本章课程的主要内容，明确需要重点关注（红色部分）的内容 * 日志文件是用于记录Linux系统中各种运行消息的文件，相当于Linux主机的“日记” 日志文件对于诊断和解决系统中的问题很有帮助，系统一旦出现问题时及时分析日志就会“有据可查”。此外，当主机遭受攻击时，日志文件还可以帮助寻找攻击者留下的痕迹 不同的日志文件记载了不同类型的信息，例如Linux内核消息、用户登录记录、程序错误等等 ，后面将会分别进行介绍 * /var/log/messages：记录Linux内核消息及各种应用程序的公共日志信息，包括启动、IO错误、网络错误、程序故障等。对于未使用独立日志文件的应用程序或服务，一般都可以从该日志文件中获得相关的事件记录信息。 /var/log/cron：记录crond计划任务产生的事件信息。 /var/log/dmesg：记录Linux系统在引导过程中的各种事件信息。 /var/log/maillog：记录进入或发出系统的电子邮件活动。 /var/log/lastlog：记录每个用户最近的登录事件。 /var/log/rpmpkgs：记录系统中安装的各rpm包列表信息。 /var/log/secure：记录用户认证相关的安全事件信息。 /var/log/wtmp：记录每个用户登录、注销及系统启动和停机事件。 /var/run/btmp：记录失败的、错误的登录尝试及验证事件。 * 在 /etc/syslog.conf 配置文件中，配置记录的格式如下（具体参考 man syslog.conf）： 设备类别.日志级别 日志消息发送位置 —— 如果需要在同一行中设置多个“设备.级别”组合，每组之间用分号隔开。日志级别的含义在下一页讲解 —— 发送位置可以是本机的用户名； “-/var/log/maillog” 中前面的”-“号表示每次记录日志时并不马上进行数据同步 * 设备的名称和严重性级别必须从已定义值的一个简短列表中选择,程序不能使用自己定义的值 设备分别为内核、常用应用程序组以及本地编写的程序进行定义，任何其他程序归为普通设备“用户（user）”一类 * * 系统日志的对象包括： authpriv：用户认证和安全信息 cron：atd和crond的信息 daemon：其他后台工具 kern：核心信息 local：本地回报信息 lpr：打印机 mail：邮件系统 news：新闻系统 syslog：syslog自身信息 user：普通用户的信息 等级包括： （由上至下为由低到高） debug：除错所需 info：标准汇报 notice：普通，但重要的行为 warning/warn：警告信息 err：错误行为 crit：致命的行为 alert：需要立即处理 emerg/panic：系统无法继续运行 * 主要是让学员理解日志消息的级别，级别数字越小的日志消息反映的问题越严重 执行以下命令可以查看帮助信息中的日志级别部分： [root@localhost ~]# man 2 syslog | grep KERN_ #define KERN_EMERG 0 /* system is unusable */ #define KERN_ALERT 1 /* action must be taken immediately */ #define KERN_CRIT 2 /* critical conditions */ #define KERN_ERR 3 /* error conditions */ #define KERN_WARNING 4 /* warning conditions */ #define KERN_NOTICE 5 /* normal but significant condition */ #define KERN_INFO 6 /* informational */ #define KERN_DEBUG 7 /* debug-level messages */ * filename动作之前加