日志管理

1.日志的功能

• 系统和程序的“日记本”
  – 记录系统、程序运行中发生的各种事件
  – 通过查看日志,了解及排除故障
  – 信息安全控制的"依据"

2.内核及系统日志

• 由系统服务rsyslog统一记录/管理
  – 日志消息采用文本格式
  – 主要记录事件发生的时间、主机、进程、内容(日志记录格式)

3.常见的日志文件

/var/log/messages 记录内核消息、各种服务的公共消息
/var/log/dmesg 记录系统启动过程的各种消息
/var/log/cron 记录与cron计划任务相关的消息
/var/log/maillog 记录邮件收发相关的消息
/var/log/secure 记录与访问限制相关的安全消息

4.日志分析

• 通用分析工具
  – tail、tailf、less、grep等文本浏览/检索命令
  – awk、sed等格式化过滤工具
  tailf :实时跟踪日志消息

5.用户登录分析

• users、who、w 命令
  – 查看已登录的用户信息,详细度不同
• last、lastb 命令
  – 查看最近登录成功/失败的用户信息
  who -b #查看服务器上一次开机的时间

6.日志消息的优先级

• Linux内核定义的事件紧急程度
  – 分为 0~7 共8种优先级别
  – 其数值越小,表示对应事件越紧急/重要

  0 EMERG（紧急） 会导致主机系统不可用的情况
  1 ALERT（警告） 必须马上采取措施解决的问题
  2 CRIT（严重） 比较严重的情况
  3 ERR（错误） 运行出现错误
  4 WARNING（提醒） 可能会影响系统功能的事件
  5 NOTICE（注意） 不会影响系统但值得注意
  6 INFO（信息） 一般信息
  7 DEBUG（调试） 程序或系统调试信息等

7.journalctl工具

• 提取由 systemd-journal 服务搜集的日志
  – 主要包括内核/系统日志、服务日志
  – journalctl -xe #最近服务的报错日志显示

8.systemd介绍

• Linux系统和服务管理器
  – 是内核引导之后加载的第一个初始化进程(PID=1)
  – 负责掌控整个Linux的运行/服务资源组合
  systemd
• 一个更高效的系统&服务管理器
  – 开机服务并行启动,各系统服务间的精确依赖
  – 配置目录:/etc/systemd/system/
  – 服务目录:/lib/systemd/system/
  – 主要管理工具:systemctl

systemctl restart 服务名 #重起服务
systemctl start 服务名 #开启服务
systemctl stop 服务名 #停止服务
systemctl status 服务名 #查看服务当前的状态
systemctl enable 服务名 #设置服务开机自启动
systemctl disable 服务名 #设置服务不开机自启动

9.RHEL6 运行级别

0：关机 
1：单用户模式（基本功能的实现，破解Linux密码）
2：多用户字符界面（不支持网络） 
3：多用户字符界面（支持网络）服务器默认的运行级别 
4：未定义
5：图形界面 
6：重起 

切换运行级别：init 数字

10.RHEL7 运行模式

字符模式：multi-user.target = 3 
图形模式：graphical.target = 5

  systemctl isolate multi-user.target   #当前切换到字符模式
  systemctl isolate graphical.target    #当前切换到图形模式
  systemctl get-default     #查看开机默认进入的模式
  systemctl set-default 模式    #设置永久策略,开机默认进入的模式