分析和排查系统故障

分析日志；排查系统故障
1.分析日志：
1）了解日志：
日志：记录系统和程序运行的信息，用于排查故障和诊断系统状态。
日志的分类：内核及系统日志一般有rsyslog进行统一管理；用户日志记录用户行为日志；程序日志一般独立管理。
2）常见的日志文件及其作用：
/var/log/messages 包括内核及系统日志，大多的日志都在这文件中。推荐使用命令：tail -f /var/log/messages 或者：less /var/log/messages
/var/log/cron 计划任务的日志
/var/log/dmesg 启动过程的日志，一般系统的硬件加载过程中的信息都会被记录。推荐命令：grep error /var/log/dmesg(检查启动过程是否有错误)
/var/log/secure 用户认证相关的信息

3）内核、系统、用户日志的的集中管理：rsyslog
rpm -qa |grep rsyslog
rpm -ql rsyslog
man 5 rsyslog.conf ##配置文件的帮助
vi /etc/rsyslog.conf ##调整日志的记录行为
#rules（规则):
设备.优先级 日志存放位置（文件/IP）
设备：auth(认证，与security相同)，cron（计划任务），kern（内核），mail（邮件），user（用户），local0-local7（用户自定义日志存放位置）
优先级：严重级别重第到高--debug（调试）--info（信息）--notice（注意）--warn（提醒）--error（错误）--crit（严重）--alert（警告）--emerg（紧急，等于panic（恐慌））
：可以表示所有的设备或者优先级
；--》隔开多个区域
.info;mail.none;authpriv.none;cron.none /var/log/messages #将所有设备产生的info及以上级别的日志记录在/var/log/messages中，但mail.none等排除了邮件、计划任务、认证日志。
authpriv.* /var/log/secure ##将所有认证日志记录在文件中
:wq
/etc/init.d/rsyslog restart
chkconfig rsyslog on ##设置为开机启动
4）查看日志文件：
tail -1 /var/log/messages
时间标签：主机名或IP：程序或设备：日志内容
tail -2 /var/log/secure ##查看登陆日志
last ##查看登陆成功日志
lastb ##查看登陆失败的日志
常用分析日志的工具：vi，less，tail，awk，sed，其他编程工具。
5）日志管理策略：
备份，控制访问权限，集中管理，延长保留期限。
经常关注：联网日志、文件传输日志、用户登陆记录日志。

修改root密码：
reboot-->按下键-->e-->下键选择kernel-->e-->输入空格1-->回车-->b-->进入单用户模式：passwd root修改密码-->init 3

本文转自信自己belive51CTO博客，原文链接： http://blog.51cto.com/11638205/2043786，如需转载请自行联系原作者