1.日志的功能
- 系统和程序的“日记本”
– 记录系统、程序运行中发生的各种事件
– 通过查看日志,了解及排除故障
– 信息安全控制的"依据"
2.内核及系统日志
- 由系统服务rsyslog统一记录/管理
– 日志消息采用文本格式
– 主要记录事件发生的时间、主机、进程、内容(日志记录格式)
3.常见的日志文件
/var/log/messages 记录内核消息、各种服务的公共消息
/var/log/dmesg 记录系统启动过程的各种消息
/var/log/cron 记录与cron计划任务相关的消息
/var/log/maillog 记录邮件收发相关的消息
/var/log/secure 记录与访问限制相关的安全消息
4.日志分析
- 通用分析工具
– tail、tailf、less、grep等文本浏览/检索命令
– awk、sed等格式化过滤工具
tailf :实时跟踪日志消息
5.用户登录分析
- users、who、w 命令
– 查看已登录的用户信息,详细度不同 - last、lastb 命令
– 查看最近登录成功/失败的用户信息
who -b #查看服务器上一次开机的时间
6.日志消息的优先级
-
Linux内核定义的事件紧急程度
– 分为 0~7 共8种优先级别
– 其数值越小,表示对应事件越紧急/重要0 EMERG(紧急) 会导致主机系统不可用的情况
1 ALERT(警告) 必须马上采取措施解决的问题
2 CRIT(严重) 比较严重的情况
3 ERR(错误) 运行出现错误
4 WARNING(提醒) 可能会影响系统功能的事件
5 NOTICE(注意) 不会影响系统但值得注意
6 INFO(信息) 一般信息
7 DEBUG(调试) 程序或系统调试信息等
7.journalctl工具
- 提取由 systemd-journal 服务搜集的日志
– 主要包括内核/系统日志、服务日志
– journalctl -xe #最近服务的报错日志显示
8.systemd介绍
- Linux系统和服务管理器
– 是内核引导之后加载的第一个初始化进程(PID=1)
– 负责掌控整个Linux的运行/服务资源组合
systemd - 一个更高效的系统&服务管理器
– 开机服务并行启动,各系统服务间的精确依赖
– 配置目录:/etc/systemd/system/
– 服务目录:/lib/systemd/system/
– 主要管理工具:systemctl
systemctl restart 服务名 #重起服务
systemctl start 服务名 #开启服务
systemctl stop 服务名 #停止服务
systemctl status 服务名 #查看服务当前的状态
systemctl enable 服务名 #设置服务开机自启动
systemctl disable 服务名 #设置服务不开机自启动
9.RHEL6 运行级别
0:关机
1:单用户模式(基本功能的实现,破解Linux密码)
2:多用户字符界面(不支持网络)
3:多用户字符界面(支持网络)服务器默认的运行级别
4:未定义
5:图形界面
6:重起
切换运行级别:init 数字
10.RHEL7 运行模式
字符模式:multi-user.target = 3
图形模式:graphical.target = 5
systemctl isolate multi-user.target #当前切换到字符模式
systemctl isolate graphical.target #当前切换到图形模式
systemctl get-default #查看开机默认进入的模式
systemctl set-default 模式 #设置永久策略,开机默认进入的模式