RHEL6–认识和分析日志文件.docVIP

RHEL 6 –认识和分析日志文件 是么是登陆文件： 就是记录系统活动记录的文件，如何时，何地，何人，做了是么事情，另外就是系统在是么时候有事么样的行为，发生了是么事件。 登陆文件的几个重要的功能： 解决系统故障：这个对系统管理员来说很重要，如启动过程中检测到的硬件数据都会内存中，由于这些检测的信息可以让我们了解硬件，人所以系统发生问题时，可以执行dmesg命令来查看硬件是否出错。另外就是如果系统出现了系统资源被耗尽，核心活动发生错误，等都可能，则系统登录文件也会将错误信息记录到登陆文件，通常就是/var/log/messages,这些可以帮助你解决问题。 解决网络问题：在安装设置新服务套件时，最常用到这个功能。例如安装sendmail和postfix服务时也会用到。如无法发送邮件等问题，那么这些问题就将记录在登录文件中，只要分析登录文件就可以解决问题的确切位置了，并能很好的解决。 记录登陆信息：这个很重要，例如apache这个www服务死机了，怎么知道死机。最后的登陆者是谁，这样可以通过分析apache的登陆文件获取信等问题。 最常见的登陆文件有： /var/log/secure ：记录登陆系统访问数据文件，例如pop3 ssh,telnet,ftp 等都会记录在此文件中。 /var/log/wtmp:记录登陆者的信息数据，由于本文件已经编码了，必须通过last命令来完成查看其内容 /var/log/messages 这个文件相当重要，只要是系统错误信息都会记录到这个文件中 /var/log/boot.log 记录开机或一些服务启动时所显示的启动和关闭信息 /var/log/maillog 或者/var/log/mail/* 记录邮件访问或者往来的用户记录(sendmail postfix) /var/log/cron 这个主要记录crontab例行性服务的内容 /var/log/httpd,/var/log/news,/var/log/mysqld.log,/var/log/samba,/var/log/procmail.log分别是几个网络记录文件。 如果登陆文件太长，写入效率会很低，这是因为文件太大时，ascii格式的数据文件写入比较麻烦。如何进行登陆文件数据的备份工作了，使用logrotate。将数据进行轮转（rotate）,也可以称为轮替。 Logrotate 就是将旧文件的日志记录更改名称，然后建立一个空的登陆文件，新的登陆文件从零开始记录，然后只讲旧的文件保留一段时间，就可以达到日志的轮替的目的了 针对登陆文件的设计的服务有： Rsyslogd：记录系统或者是网络服务的登陆文件 Logrotate：将旧的数据文件更名，并且建立新的登陆文件，以保持登陆文件全新，并且设置将旧的文件删除。 Logger就是用来测试系统日志服务的。 首先介绍安装日志软件包 安装完成后来检查一下rsyslogd服务是否启动 设置为开机自启动2345开启。 启动该服务 该服务不是用端口 日志文件的记录的一般格式 一般来说，经过syslog记录下来的数据主要有： 事件发生的日期与时间 发生此事件的主机名称 启动此事件的服务名称或者函数名称 该消息的数据内容 这些信息的详细程度是可以修改的，而且这些信息可以有利于排错。下面我们来看一下安全相关的日子文件/var/log/secure 最重要的就是/var/log/messages 这个文件 当你觉得系统不正常时 某个守护程序总是无法启动 某个用户总是无法登陆 某个守候程序的执行过程总是不顺畅 就需要查看这个/var/log/messages这个文件 下面来看syslog的配置文件 [root@rhelserver ~]# vim /etc/rsyslog.conf #rsyslog v3 config file # if you experience problems, check # /troubleshoot for assistance #### MODULES #### $ModLoad imuxsock.so # provides support for local system logging (e.g. via logger command) $ModLoad imklog.so # provides kernel logging support (previously done by rklogd) #$ModLoad immark.so # provides --MARK-- message capability # Provides UDP syslog recep