linu系统日志分析.pdfVIP

RedHat 系统日志分析 其实，可以说成是监控系统的记录，系统一举一动基本会记录下来。这样由于信息非常 全面很重要，通常只有 root 可以进行视察！通过登录文件（日志文件）可以根据屏幕上面 的错误讯息与再配合登录文件的错误信息，几乎就可以解决大部分的 Linux 问题！所以日 志文件异常重要，作为一个合格的linux 系统工程师，日志文件是必要熟练掌握的部分。 常见的几个登录文件有： /var/log/secure ：记录登入系统存取数据的文件，例如pop3, ssh, telnet, ftp 等都会被记录； /var/log/wtmp ：记录登入者的讯息数据，由于本文件已经被编码过，所以必须使用last 指令 来取出文件的内容； /var/log/messages ：尤为重要，几乎发生的错误讯息（或是重要信息）都会被记录在此； /var/log/boot.log ：记录开机或者是一些服务启动的时候，所显示的启动或关闭讯息； /var/log/maillog 或 /var/log/mail/* ：纪录邮件存取或往来( sendmail 与 pop3 ) 的使用者记录； /var/log/cron ：记录 crontab 这个例行性服务的内容的。 /var/log/httpd, /var/log/news, /var/log/mysqld.log, /var/log/samba, /var/log/procmail.log ：分别是 几个不同的网络服务的记录文件！ 登录文件的纪录程序之一： syslogd 通常经过 syslog 而记录下来的数据主要有： 事件发生的日期与时间； 发生此事件的主机名称； 启动此事件的服务名称 (如 samba, xinetd 等) 或函式名称 (如 libpam ..)； 该讯息数据内容 syslogd 的daemon 配置文件：/etc/syslog.conf 内容语法是这样的： 服务名称[.=!]讯息等级 讯息记录的文件名或装置或主机 # 例如底下： /var/log/maillog_info 服务名称：该服务产生的讯息会被纪录的意思。syslog 认识的服务主要有底下这些： auth, authpriv：主要与认证有关的机制，例如telnet, login, ssh 等需要认证的服务都是使用此 一机制； cron ：例行性命令 cron/at 等产生讯息记录的地方； daemon：与各个 daemon 有关的讯息； kern ：核心 (kernel) 产生讯息的地方； lpr ：打印相关的讯息！ mail ：只要与邮件收发有关的讯息纪录都属于这个； news ：与新闻群组服务器有关的东西； syslog：syslogd 这支程序本身产生的信息啊！ user, uucp, local0 ~ local7：与 Unix like 机器本身有关的一些讯息。 讯息等级 系统将讯息分为七个主要的等级，依序是由不重要排列到重要讯息等级： info ：仅是一些基本的讯息说明而已； notice ：比 info 还需要被注意到的一些信息内容； warning 或 warn ：警示讯息，可能有问题，但是还不至于影响到某个daemon 运作。 err 或 error ：一些重大的错误讯息，这就要去找原因了。 crit ：比 error 还要严重的错误信息，crit 是临界点 (critical) 的缩写，已经很严重了！ alert：警告警告，已经很有问题的等级，比crit 还要严重！ emerg 或 panic ：疼痛等级，意指系统已经几乎要当机的状态！很严重的错误信息了。 除了这些有等级的讯息外，还有两个特殊的等级，那就是debug(错误侦测等级) 与 none (不需登录等级) 两个，当要作一些错误侦测，或者是忽略掉某些服务的信息时，就用这俩！ 在讯息等级之前还有 [.=!] 的连结符号！他代表的意思是： . ：代表比后面还要高的等级(含该等级)都被记录下来的意思， 例如： 代表只要 是 mail 的信息，而且该信息等级高于 info (含info )时，就会被记录下来。 .=：代表所需要的等级就是后面接的等级而已