Linux日志分析和故障处理

一、日志文件简介

···1.日志文件用于记录系统、程序运作中发生的各种事件
　2.日志文件的分类
　　1）日志管理服务：由系统服务rsyslog管理
　　　·软件包 rsyslog-5.8…rpm
　　　·主程序 /sbin/rsyslogd
　　　·配置文件 /etc/rsyslog.conf（默认的日志设置）
　　　·启动脚本 /etc/init.d/rsyslog
　　2）内核及系统日志：主配置文件/etc/rsyslog.conf
　　3) 用户日志：记录用户登录及退出系统的信息，包括用户名、登录的终端、登录时间、来源主机、进程操作等
　　4) 程序日志：记录本程序允许过程中的各种事件信息
　　　·所有有rpm安装的程序日志都放在/var/log
　　　·系统本身和大部分服务器程序的日志默认放在/var/log
　　5）常见的日志文件
　　　·/var/log/message:记录内核消息及各种应用程序的公共日志，未使用独立日志文件的程序服务
　　　·/var/log/cron:crond计划任务的日志
　　　·/var/log/dmesg:记录系统在引导过程中的各种事件信息
　　　·/var/log/maillog:电子邮件的日志
　　　·/var/log/lastlog:记录每个用户最近的登录时间
　　　·/var/log/secure:记录用户认证相关的安全事件
　　　·var/log/wtmp：每个用户登录、注销、系统启动和停机的事件信息
　　　·/var/log/btmp:失败、错误登录的事件
　2./etc/rsyslog.conf查看系统默认的日志设置
　　1）根据日志的的重要程度分为不同的优先级
　　　·0 emerg（紧急）：会导致主机系统不可以
　　　·1 alert（警告）：必须马上解决的问题
　　　·2 crit（严重）：比较严重的错误
　　　·3 err（错误）：运行出现错误
　　　·4 warning（提醒）：可能影响系统功能，需要提醒用户的重要事件
　　　·5 notice（注意）：不会影响正常功能，但要注意
　　　·6 info（信息）：一般信息
　　　·7 debug（调试）：程序或系统调试信息
　　2）日志记录格式（四个字段）
　　　·时间标签：消息发出的时间和日期
　　　·主机名：生成消息的计算的名称
　　　·子系统名称：发出消息的程序的名称
　　　·消息：消息的具体内容
　3.用户日志
　　1）查询当前的用户情况
　　　·users：简单列出当前登录的用户名称
　　　·who：当前登录到系统的每个用户的信息
　　　·w：显示当前系统中每个用户及其运行的进程信息
　　　·last：查询用户成功登录到系统的记录
　　　·lastb查询登录失败的用户记录

二、深入理解Linux文件系统

1.inode和block
　　1）扇区（sector）：硬盘上的最小存储单位，每个扇区存储512字节
　　2）块（block）：文件存取的最小单位，8个扇区组成一个块，即每个块4KB
　2.inode（索引节点、i节点）：存储文件原信息的地方
　　1）元信息
　　　·文件字节数
　　　·文件拥有者的userID
　　　·文件的权限
　　　·文件的时间戳
　　2）stat：查看某个文件的inode信息
　　　·inode 文件名
　3.主要的时间属性
　　1)ctime：最后一次改变文件或目录属性的时间
　　2)mtime：最后一次修改文件或目录内容的时间
　　3)atime：最后一次访问文件或目录的时间
　4.inode号
　　1）每个inode都有一个inode号，系统通过inode号来识别文件
　　　·ls -i 查看文件的inode号
　　2）inode号也会消耗磁盘空间，每个128字节或256字节，inode的总数在格式化时给定
　　·df -i 查看inode号的详情
　3）系统识别文件的步骤
　　·系统找到这个文件的inode号
　　·通过inode号获取inode信息
　　·根据inode信息，找到文件所在的块，读出数据

三、故障分析

1.MBR故障
　前提：有多块硬盘以备份MBR
　　1）将MBR扇区备份到另一块硬盘（挂载到/backup）
　　　dd if=/dev/sda of=/root/backup/sda.mbr.bak bs=512 count=1
　　2)模拟MBR扇区被破坏
　　　dd if=/dev/zero of=/dev/sda bs=512 count=1
　　3)从备份恢复MBR（引导程序）
　　·安装光盘引导进入急救模式，选择Rescue installed system

　　·选择语言

　　·选择键盘

　　·是否安装网卡（no）

　　·选择continue

　　·进入”bash-4.1#”提示符的bash shell环境

　　·创建一个新目录，并挂载到有备份文件的分区，将备份文件恢复到光盘，重启

　2.修复GRUB引导文件
　　1）备份/boot/grub/grub.conf
　　2) 同上进入shell环境
　　3) 换到待修复的Linux系统根环境

chroot /mnt/sysimage

4)将备份的文件复制到/boot/grub/，名字改为grub.conf
　3.遗忘密码
　　（1）进入单用户模式修改
　　　1）重启，出现grub时按上下箭头，将光标定位到centos，按e，进入编辑模式

　　　2）定位到kernel，按e

　　　3）在末尾添加single或1或l，回车

　　　４）按b键就进入了单用户模式

　　　５）设置密码
　　　　·passwd root
　　（2）进入急救模式重设密码
　　　1）切换到待修复的Linux系统的根目录
　　　2）执行passwd root