日志的作用:
用于记录系统、程序运行中发生的各种事件
通过阅读日志,有助于诊断和解决系统故障
日志文件的类别
内核及系统日志:有系统服务rsyslog统一进行管理,日志格式基本相似
用户日志:记录系统用户登录及退出系统的相关信息
程序日志:由各种应用程序独立管理的日志文件,记录格式不统一
:#tail -f /var/log/messages
:#tail -5 /var/log/messages
日志记录的一般格式
时间标签 主机名 子系统名 消息字段
错误关键字(规律):error failure bad permission deny
:#grep bad /var/log message
:#grep 'bad|error|failure' /var/log/messages
:#grep yum /var/log/message | tail -10
程序日志文件
由相应的应用程序独立进行管理
web服务:/var/log/httpd/ access_log、error_log
代理服务:/var/log/squid/ access_log 、cache.log 、squid.out、store.log
FTP服务:/var/log/xferlog
......
分析工具
文本查看、grep过滤检索、webmin 管理套件中查看
awk、sed等文本过滤、格式话编辑工具
Webalizer、Awstats等专用日志分析工具
syslog系统日志
由系统服务rsyslog统一管理
软件包:rsysklog-5.8 (肯定装了)
服务程序:rsyslog #service rsyslog restart
配置文件:/etc/rsyslog.conf
日志消息级别
0 ERERG 导致主机系统不可用的情况
1 ALERT 必须马上采取措施 解决的问题
2 CRIT 比较严重的情况
3 ERR 运行出现错误
4 WARNING 可能会影响系统功能的事件
5 NOTICE 不会影响系统但值得注意
6 INFO 一般消息
7 DEBUG 程序或系统调试信息等
日志级别,级别越低越不重要
配置文件:/etc/rsyslog.conf
#man 5 rsyslog.conf
设备类别 [链接符] 日志级别
#grep -v "^#" /etc/rsyslog.conf | grep -v ^$
cron.* /var/log/cron
设备类别.日志级别 消息发送位置
.:记录大于等于后面的级别日志
.=:只记录等于后面的级别日志
.!=:只记录不等于后面的级别日志
消息发送位置
本地文件:通常就是文件的绝对路径
打印机:例如/dev/lp0这个打印机装置
用户名称:显示给用户
远程主机:如@172.16.6.1
*:所有在线的人,发到每个终端
其他
- 不直接写到磁盘,先写道缓存
;不同类别
系统日志文件
保存位置:默认位于/var/log目录下
主要日志文件介绍
内核及公共消息日志:/var/log/messages
用户登陆认证日志:/var/log/secure
计划任务日志:/var/log/mail.log
启动日志:/var/log/boot.log
内核加载驱动日志:/var/log/dmesg
用户日志文件
保存了用户登录、退出系统等相关信息
/var/log/lastlog:最近的用户登录事件
/var/log/wtmp : 用户登录、注销及系统开关机事件
/var/log/utmp:当前登录的每个用户的详细信息
#file /var/log/lastlog 这些文件不要是查看内容
用户的内登录分析:who w user last lastlog ac
#last
#lastlog
#ac
用户运行过的进程分析工具:accton lastcomm
#accton
#lastcomm
#sa 报告、清理和维护进程统计文件
#accton /var/account/pacct //启用统计
#lastcomm --user hello //查看统计
#accton //关闭统计
主动记录日志工具(logger (脚本中用) 可以人为的控制日志消息)
#logger 从命令行直接向系统日志文件写入一行信息
:#logger -it "this is a test" -p authpriv.info
:#tail -5 /var/log/secure
日志管理策略
及时做好备份和归档
控制日志访问权限:日志中可能会包含各类敏感信息,如帐号、口令等
集中管理日志: 使用日志服务器便于日志的统一收集、整理和分析
杜绝日志信息的意外丢失、恶意篡改或删除
日志服务器,记录所有主机(服务器)的日志
RHEL6 日志服务器配置流程
1.客户机修改/etc/ryslog.conf文件添加记录
*.err;*.crit;*.alert @172.16.6.1 使用UDP访问 @@表示使用TCP访问
2.重启rsyslog服务
service rsyslog restart
3.服务器修改/etc/rsyslog.conf文件,去掉下面的注释
# Provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 514 //使用UDP514端口
# Provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 514 //使用TCP514端口
4.重启rsyslog服务
service rsyslog restart
netstat -nupl | grep 514 检查日志远程服务端口有无打开
5.测试
logger -it "localhost" -p uucp.crit 1111111111
日志轮转功能 方便有效的管理日志,防止日志文件过大
配合一个配置文件,在加上计划任务,每天执行一次来达到循环的效果
可以作为一种备份策略,又可以方便管理员查阅日志
日志轮转配置文件:/etc/logrotate.conf
日志轮转次要配置文件:/etc/logroate.d/* 每个文件代表一种日志的配置
#logrotate
-v
-f 强制轮转
:#logrotate -v /etc/logrotate.conf
——————————————————————————
计划任务 创建和管理在指定时间自动执行的任务
注意任务的服务要开启:#service atd status
计划任务分类
使用at 命令调用 atd进程 设置在某个特定的时间,执行一次任务
使用crontab 命令调用 crond进程,设置按固定的周期重复执行预先计划好的任务
一次性计划任务
#at 在指定的日期、时间点自动执行预先设置的一些命令操作,属于一次性计划任务
#at [时间] #man at 多查帮助
-l = #atq
-d = #atrm
-c [count] 查看计划任务的具体内容
-f file 使用文件中的命令作为计划任务
at计划任务文件位置/var/spool/at/a开头的文件夹;任务执行完毕,文件消失
at计划任务文件位置/etc/at.deny ;/etc/at.allow
#batch 向atd提交作业,在系统不忙的时候运行; 格式和at相同
1.所有计划任务(后台进行)标准输出不会显示在屏幕,在邮件中输出
避免计划的垃圾信息 &> /dev/null
eth0 fdsajglkd > /dev/pts/0
/dev/tty
2.操作的对象使用绝对路径
周期计划任务
按照预先设置的时间周期重复执行用户指定的命令操作
服务名:/etc/init.d/crond
用户自定义的设置,位于/var/spool/cron/用户名
cron服务配置文件/etc/crontab ; /etc/cron.d/* /etc/corn.deny ; /etc/corn.allow
cron服务的日志文件/var/log/cron
#vim /etc/crontab
时间周期设置 命令(要执行的命令或程序脚本) 注:使用绝对路径运行脚本
时间数值的特殊表示方法
* 表示该范围内的任意时间
,表示间隔的多个不连续时间点
- 表示一个连续的时间范围
/n 指定间隔的时间频率
run-parts 后面一定是个文件夹
#crontab 设置计划任务(可以检测语法错误);任务文件保存到/var/spool/cron/下
-u user
-e edit
-l list
-r remove
anacron服务 (rhel 6 中anacron和cron合并为,只有cron)
弥补cron在系统关机后不能执行计划任务的问题 (不能代替cron)
按天、周或月为单位去检查系统未进行的cron任务
#ls /var/spool/anacron
cron.daily cron.monthly cron.weekly
注意事项
资源分配不均:多个计划任务同时运行
安全检查:防止有非法计划任务
周、日、月不可同时并存:容易导致计划任务时间混乱
#mail 查看邮件
发送邮件的三种方式
1.#mail [user] 交互式发送邮件,在终端中运用
2.#echo 1111111 | mail -s "1" root (脚本或计划任务中应用)
3.#mail -s "2" hello < /etc/fstab (脚本或计划任务中应用)
tail -f /var/log/cron
复杂的计划任务最好放在脚本中,加上执行权限。或使用转义字符
8204
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
