linux运维,离不开对系统日志的分析,除syslog外,还有常用的dmesg、wtmp、btmp、bash_history等系统日志文件以及应用程序相关的日志。
一、dmesg日志:记录内核日志信息
日志文件/var/log/dmesg中记录了系统启动过程中的内核日志信息,包括系统的设备信息,以及在启动和操作过程中系统记录的任何错误和问题的信息。以下是该文件内容的部分截取。
Linux version 2.6.18-194.el5 (mockbuild@x86-007.build.bos.redhat.com) (gcc version 4.1.2 20080704 (Red Hat 4.1.2-48)) #1 SMP Tue Mar 16 21:52:43 EDT 2010
BIOS-provided physical RAM map:
BIOS-e820: 0000000000010000 - 000000000009fc00 (usable)
BIOS-e820: 000000000009fc00 - 00000000000a0000 (reserved)
BIOS-e820: 00000000000e0000 - 0000000000100000 (reserved)
BIOS-e820: 0000000000100000 - 000000001f7d0000 (usable)
BIOS-e820: 000000001f7d0000 - 000000001f7efc00 (reserved)
BIOS-e820: 000000001f7efc00 - 000000001f7fb000 (ACPI NVS)
BIOS-e820: 000000001f7fb000 - 000000001f800000 (reserved)
BIOS-e820: 00000000e0000000 - 00000000f0000000 (reserved)
BIOS-e820: 00000000fec00000 - 00000000fec02000 (reserved)
BIOS-e820: 00000000fed20000 - 00000000fed9b000 (reserved)
BIOS-e820: 00000000feda0000 - 00000000fedc0000 (reserved)
BIOS-e820: 00000000ffb00000 - 00000000ffc00000 (reserved)
BIOS-e820: 00000000fff00000 - 0000000100000000 (reserved)
0MB HIGHMEM available.
503MB LOWMEM available.
Memory for crash kernel (0x0 to 0x0) notwithin permissible range
disabling kdump
Using x86 segment limits to approximate NX protection
On node 0 totalpages: 128976
DMA zone: 4096 pages, LIFO batch:0
Normal zone: 124880 pages, LIFO batch:31
DMI 2.3 present.
Using APIC driver default
ACPI: RSDP (v000 HP ) @ 0x000fe270
ACPI: RSDT (v001 HP 30C4 0x31100620 HP 0x00000001) @ 0x1f7efc84
ACPI: FADT (v002 HP 30C4 0x00000002 HP 0x00000001) @ 0x1f7efc00
ACPI: MADT (v001 HP 30C4 0x00000001 HP 0x00000001) @ 0x1f7efcb8
ACPI: MCFG (v001 HP 30C4 0x00000001 HP 0x00000001) @ 0x1f7efd14
ACPI: SSDT (v001 HP HPQPpc 0x00001001 MSFT 0x0100000e) @ 0x1f7f6698
ACPI: DSDT (v001 HP DAU00 0x00010000 MSFT 0x0100000e) @ 0x00000000
ACPI: PM-Timer IO Port: 0x1008
ACPI: Local APIC address 0xfec01000
ACPI: LAPIC (acpi_id[0x01] lapic_id[0x00] enabled)
Processor #0 6:13 APIC version 20
ACPI: LAPIC_NMI (acpi_id[0x01] high edge lint[0x1])
ACPI: IOAPIC (id[0x01] address[0xfec00000] gsi_base[0])
IOAPIC[0]: apic_id 1, version 32, address 0xfec00000, GSI 0-23
可以通过该日志文件来判断某些硬件设备在系统启动过程中是否被正确识别,例如:用户新添加了一个磁盘,如果该磁盘能被linux系统正确识别,那么在dmesg日志文件中应该能看到它的信息。
命令格式:dmesg |grep "sd*"
二、用户登录日志
/var/log/wtmp和/var/log/btmp是Linux系统上用户保存用户登录信息的日志文件。其中wtmp用于保存用户成功登录的记录,而btmp则用于保存你用户登录失败的日志记录,它们为系统安全审计提供了重要的信息依据。这两个文件都是二进制的,无法直接使用文本编辑工具打开,必须通过last和lastb命令进行查看。可以使用如下命令:
-bash-3.2$ last
bdkyr pts/0 123.119.*.* Thu Mar 5 23:29 still logged in
bdkyr pts/0 221.223.*.* Wed Mar 4 22:05 - 22:53 (00:48)
bdkyr pts/0 *.* .116.186 Wed Mar 4 20:41 - 20:48 (00:06)
bdkyr pts/0 *.* .110.74 Thu Feb 12 22:04 - 23:51 (01:46)
bdkyr pts/0 *.* .116.22 Wed Feb 11 22:07 - 00:24 (02:16)
bdkyr pts/2 114.*.* .57 Wed Feb 11 00:13 - 00:41 (00:27)
bdkyr pts/1 *.* .196.57 Wed Feb 11 00:13 - 00:41 (00:27)
系统管理员因该定期查看上述两个日志文件,检查是否有某些非法用户登录系统或者尝试登录系统,以确保系统安全。
三、用户操作记录
默认情况下,在每个用户的主目录下都会有一个.bash_history的文件,在该文件中保存了该用户输入的所有命令记录,管理员可以通过该文件查看某个用户到底做过什么操作。例如
cat /home/bdkyr/.bash_history
系统管理员应该定期查看该文件爱你,检查用户是否进行了一些非法操作。
四、应用日志
除了系统日志外,Linux系统的应用软件也有自己的日志,由于不同的应用软件都会有特殊的日志格式,各个应用软件的默认日志目录全部在应用程序目录下,如apache的: /usr/local/apache/log。限于篇幅的原因,在这里不能逐一介绍,作为系统管理员,应该清楚如何使用这些日志文件,以便在软件出现故障时能快速找到有效的信息支持。