AIX系统日志

在AIX中，errpt用于报告系统软硬件相关的错误日志信息先来看一个实际的输出，不带参数简单列出所有的错误#errptIDENTIFIER TIMESTAMP T C RESOURCE_NAME DESCRIPTIONA2205861 1214144307 P S SYSPROC Excessive interrupt disablement time F3931284 1213234807 I H ent1 ETHERNET NETWORK RECOVERY MODEEC0BCCD4 1213234807 T H ent1 ETHERNET DOWNF3931284 1213234807 I H ent1 ETHERNET NETWORK RECOVERY MODEEC0BCCD4 1213233607 T H ent1 ETHERNET DOWN0873CF9F 1212141207 T S pts/1 TTYHOG OVER-RUN0873CF9F 1212141207 T S pts/1 TTYHOG OVER-RUN…使用-a参数查看详细信息#errpt -a | more—————————————————————————LABEL: GOENT_RCVRY_EXITIDENTIFIER: F3931284Date/Time: Thu Dec 13 23:48:47 BEIST 2007Sequence Number: 162Machine Id: 00099476D600Node Id: db158Class: HType: INFOResource Name: ent1Resource Class: adapterResource Type: 14108902Location: U787B.001.DNWA74C-P1-T9VPD:Product Specific.( )…….2-Port 10/100/1000 Base-TX PCI-XAdapterNetwork Address………….000D6051A0F6ROM Level.(alterable)…….DV0210DescriptionETHERNET NETWORK RECOVERY MODERecommended ActionsPERFORM PROBLEM DETERMINATION PROCEDURESDetail DataFILE NAMEline: 204 file: goent_intr.cPCI ETHERNET STATISTICS0001 EF66 0063 0853 0000 0001 0000 0000 0000 0000 0000 0000 0000 0000 0000 0001 0000 0000 0000 A69D 0000 0000 002C B028 0000 0000 0000 A64B 0000 0000 0000 A597 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0001 0000 0001 0000 0001 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 BB83 08F0 0068 0C00 0000 0000 01A0 0000 0000 0000 0000 0000 0000 0000 C9E1 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000DEVICE DRIVER INTERNAL STATE5555 5555 0000 0000 0000 0000SOURCE ADDRESS0011 25C0 3BDE其中：LABLE：事件名称IDENTIFIER：事件IDDate/Time：发生的时间Sequence Number：事件序列号Machine ID：机器标识Node ID：节点标识Class：事件来源S－软件H－硬件I－信息U－未定的Type：事件类型PEND－设备或组件的可用性损失是急迫的。

vi编辑器 i编辑模式 I移动到行首 a光标前一个字母 A行末 h向左移 l 向右移 k向上 j向下 x删除当前光标 dd删除整行 ctrl+f 向下翻页，ctrl+b 向上翻页图形界面安装 xmanager 然后打开软件输入命令 export DISPLAY=IP:端口即可调用修改网卡属性命令 smitty chinet修改时间和时区 smitty-->system environments-->chang / show date and time-->using system defined value-->PRCAIX关机:shutdown -F hAIX系统安装方式光盘磁带(常用) 网络安装系统启动之前先把网线，光纤拔掉，然后系统启动按1进入SMS模式，选择启动顺序，依次安装升级安装后用命令OSlevel查看是否升级成功调用配置助手的命令是# install_assist 或 # configassist查看软件包的命令：lslpp -l |grep 软件名称查看进程的命令 ps –ef |grep 进程名diag 是硬件诊断命令查看日志文件alog -o -t |more管理系统环境smit system管理语言环境smit mlang六章用户管理与安全策略查看用户ID 和组的两个命令 id+user finger+user查看用户属性的命令是 lsuser+user 或者加具体参数文件系统有 NTFS FAT16 FAT32 NFS ext2/3/4（Linux中） raw（没有格式化或格式化中取消）svmon是查看内存的增加文件读写权限:chmod 777 /file_name修改欢迎界面是在/etc/motd目录下边重置loginretrice的数值可以直接vi /etc/secrrity/lastlog 或者直接smitty user--> reset#who 查看谁在登录#ps aux |grep pts|grep –v grep 查看用户登录进程Umast权限在创建文件夹的时候文件夹权限为755 但是创建文件的时候为664（不需要执行权限）lsvg -l +vg名是查看vg信息的lsvg -p是查看PVlsvg -o是查看激活中的vglsvg –m 是查看有没有做mirrorlspv -l +pv名是查看lvlspv -p是查看pp的lslv -m 是看lp个数和pp的分布–lslv –l 是看lv在pv的分布lsps –a paging spase 分布状态lsps –s paging spase 大小quorum 是vgda可用个数为51% lsvg+vg名称如果stale pv/pp不为0的话肯定是没有同步，要去查逻辑卷删除VG的命令#reducevg –d linvg hdisk3 hdisk4导入导出VG:在exportvg之前一定要查看两边pvid号是否一致,如果不一致先更新pvid号命令:抹掉pvid：#chdev –l hdisk1 –a pv=clear重新获取pvid：#chdev –l hdisk1 –a pv=yes批量清除pvid信息#for i in 3 4 5 6 7 8 9;do chdev -l hdisk${i} -a pv=clear;done批量获取pvid信息#for I in 3 4 5 6 7 8 9;do chdev -l hdisk${i} -a pv=yes;done查看VGDA信息命令：#lqueryvg –Atp hdisk1exportvg+vg名称，可以抹掉在odm库的vg信息，在exportvg之前必须要umout 所有文件系统，而且必须varyoffvg，然后importvg -y +vg名 +pv名命令：lspv查看当前vg里边有哪几个pvlsvg -l linvg 查看 linvg有几个lv 如果有的话umount掉varyoffvg linvg 去激活vgexportvg linvg 抹掉odm库的vg信息importvg -y linvg hdisk (exportvg的那个vg里边的某个盘vmstat 1 是一秒刷新一次pageing spase将LP导入同一个VG下的其他PV中首先创建vg #smitty vg 然后add一个original vg（标准）然后把两个pv加到vg中，可以用#lsvg –l linvg 查看此vg中有没有lv 如果没有的话在其中一个pv中创建lv #smitty lv #add一个lv 创建完成后可以用#lsvg –l linvg查看lv属性可以用#lslv –l lv_linvg 查看lv分布到哪几个PV上，是怎样分布的，用#lslv –m lv_lin/vg 查看lp是怎样分布的然后用#migratelp lv_linvg/lp个数/cop个数目标pv例：#migratelp lv_linvg/1/1 hdisk9扩容LV：首先得有一个lv 用#lslv –l lv_linvg 查看 lv分布到哪几个PV上然后用#lslv –m lv_linvg 查看lp是怎样分布的，然后#smitty lvSet characteristic of a logical volume →increase the size of a logical volume→选择lv名→然后进行扩容在线转移lv：把硬盘hdisk1上的lv00转移到hdisk2上# migratepv -l lv00 hdisk1 hdisk2在线扩容lv：#lsvg –l linvg#lsvg linvg#chfs –a size=+512M /fslv_test这样扩容风险较小，#chfs –a size=-512M /fslv_test缩容也可以这样，但是有一定的风险，谨慎操作扩容VG：扩容vg之前确认要加入的pv没有其他vg占用，如果有要varyoff掉，然后exportvg擦除信息，varyoff之前要确定没有人访问，lv是close状态方法一：#smitty vg →add a pv to vg→vgname,pvname方法二：#extentvg –f linvg hdisk8扩容VG报错：#extendvg –f linvg hdisk3 报错0516-1008 rmlv: Logical volume loglv00 must be closed. If the logical volume contains a filesystem, the umount command will close the LV device.0516-884 reducevg: Unable to remove physical volume hdisk8.#chvg –t 15 linvg#lsvg linvg 看一下maxpv数量#extendvg –f linvg hdisk3文件系统满了的话进行碎片整理4k整理成1k 比如文件问3k，4k为单位那就占用了一个单位有1k是浪费了，整理成1k的话那就使用了3个单位修改换页空间属性：#smitty lvm→paging space→change ps→可以根据需求添加或减少LP如果一块硬盘坏掉，怎样解决？①去mirror，然后备份数据#smitty vg → unmirror 然后选择vgname②把lv从pv删除，然后把pv从vg删除#smitty lv →removelv 然后选择lvname 进行删除#smitty vg→set vg属性→remove pv→选择vg→选择pv 进行删除③diag点亮硬盘，确定哪一块硬盘，把硬盘拔出④把硬盘放进去，然后用#cfgmgr -v识别硬盘然后用#chdev –l pvname –a pv=yes获取pvid⑤加vg，#smitty vg→set vg属性→add一个pv⑥做mirror，#smitty vg → mirror a vg→选择vg→选择同步类型→选择pv 然后同步另：如果lv做copy(mirror)的时候首先#lslv –m lv_linvg查看一下是否有做copy 如果没有的话 #smitty lv→set lv属性→add copy lv→lvname→copy数量→选择pv→选择pv分布范围(注:如果lv分布在两个pv上的话那么range pv 一定要选择maximum) →enterMount与umont#df –g查看有哪些文件系统 mount点在哪然后确定umount哪个文件系统用#fuser –uc /inst 查看有哪些用户在用这个文件系统如果没有用户再用，然后确定不对外提供服务了，可以使用umount /inst 来umount掉如果有用户再用可以用#fuser –kuxc /inst 杀掉mount在这个目录下边的进程，然后再umount 做这些操作之前一定要确定文件系统不对外提供服务而且没有用户在使用的情况下如果paging spase在open状态下，可以用#lsps –a查看有哪些ps 然后用#swapoff /dev/paging00Mount的时候如果根目录下有几个文件系统，你只 mount了一个文件系统的话，其他文件系统是隐藏的，所以你只能看到一个，把mount的那个文件系统umount 掉才能看到其他的举例1：比如一个2G的根目录，已经使用了98%了，而我们mount 的那个文件系统才使用20%了，这个时候就需要umount掉这个mount的文件系统查看一下别的隐藏文件举例2：比如安装一个应用，安装到了vg上边，安装完成之后mount一个文件系统然后发现这个应用找不到了（其实是隐藏了）然后又安装一遍，等这个文件系统umout的时候这个应用还是可以启动，但是数据跟mount上的那个文件系统的数据不一致，所以会出现问题Mount 一个文件到一个mount点的命令首先df –g 查看有没有mount和现在mount在哪然后#mount –v jfs2 /dev/fslv00 /beth查看文件系统目录#cat /etc/filesystems创建文件系统已经mount第一种方式：首先确定要创建多大的文件系统，然后查看vg的pp size #lsvg linvg#smitty fs→add一个→选择第一项→选择第一项→然后根据提示做（选择单位大小，然后决定num，然后填写mount点，然后设置重启是不是自动启动）回车确定，然后#lsvg –l linvg查看是否已经建立成功如果建立成功的话，直接#mount /lin_test01 (这一种方式不能确定分布在哪个pv上，也不能确定是否已经做mirro等)第二种方式：首先确定要创建多大的文件系统，然后查看vg的pp size #lsvg linvg然后创建lv #smitty lvm add一个lv就可以了#lsvg –l linvg 查看lv然后#smitty fs→add一个→选择第一项→选择第二项→选择lv和填写mount 点，设置重启是不是自动启动回车确定，然后#lsvg –l linvg 查看是否已经有挂载点→然后给lv扩容，增加两个lp，#smitty lv→set属性→然后Increase size→选择增加几个lp，分布在哪个PV上，回车确定，然后查看分布在哪些pv 上lslv –m fslv_linvg，确定没问题 #mount test002查看内存的命令 #lsattr -El mem0 #prtconf 看系统配置信息cfgmgr –v 扫描所有加电的设备清除pvid信息#chdev –l hdisk1 –a pv=clear获取pvid信息#chdev –l hdisk1 –a pv=yes把硬盘hdisk1上的lv00转移到hdisk2上#migratepv –l lv00 hdisk1 hdisk2Hd4 根系统 hd5引导系统 hd6换页空间（虚拟内存）hd8日志系统网络:一般IP分为四段，一段为8位一次是128 64 32 16 8 4 2 1A类地址是1开头B类地址是10开头C类地址是100开头永久修改主机名：#chdev –l inet0 -a hostname=xxnameTCP端口监听命令#netstat –an |grep tcp |more端口记录位置#cat /etc/services更改网卡IP#smitty chinet更改网卡属性#smitty chgenet查看所有磁盘 lsdev -Cc disk 直接查看磁盘信息lsattr -El hdisk0，lssrc -a 是查看所有系统服务 refresh -g 是重启服务lssrc -t +服务名查看服务状态startsrc -s +服务名启动服务系统服务：#while true; do df –g ;sleep 5 ;echo ““;done#cd inst#vi abc.sh#!/usr/bin/kshWhile true;do df –g ;sleep 5 ;echo ““;done:wq#chmod a+x abc.sh#/abc.sh#bg 是把命令放到后台运行 fg是在前台输出，exit系统进程就会停止把命令放到后台运行且不退出的命令是#nohup ./abc.sh &#cd /inst #ls –l nohup.out可以查看跑过的nohup命令#nohup ./abc.sh 2>&1 >/dev/null & 1是标准输出2是错误输出，此命令是把错误输出到文件中去#cd /inst #vi aa.sh#!/usr/bin/kshPID=`ps -ef |grep abc.sh |grep -v grep |awk '{print $2 }'`a=`ps -ef |grep abc.sh |grep -v grep |awk '{print $2 }'|wc -l `if [ $a -ne 0 ]thenecho " abc.sh shell is active "fikill -9 $PIDa=`ps -ef |grep abc.sh |grep -v grep |awk '{print $2 }'|wc -l `if [ $a -ne 0 ]thenecho " abc.sh shell is active "elseecho "abc.sh has been killed "fi控制用户使用crontab的两个文件：/var/adm/cron/cron.deny 不允许使用cron的用户/var/adm/cron/cron.allow 允许使用cron的用户如果两个文件都存在，那么只有cron.allow文件有效，如果两个文件都不存在，那么只有root才可以用croncrontab格式：分钟小时日月份星期命令0-59 0-23 1-31 1-12 0-6（0为周日）查看crontab #crontab –l删除crontab #crontab –r编辑crontab方法一:#crontab –e方法二:# crontab –l >/tmp/crontmp# vi /tmp/crontmp# crontab /tmp/crontmp备份与恢复备份分为：系统备份，完全备份，增量备份备份软件：IBM的TSM备份软件HP的NBU备份软件备份介质：软盘，CD，磁带，等等备份系统（rootvg）的时候，可以在/etc/exclude.rootvg更改不想备份的文件，然后#smitty mksysb的时候在EXCLUDE files? 选项选成yes实验：创建一个文件系统并且挂载，然后进行备份，查看备份状态#smitty fs→add/change/show/delete file systems→Enhanced journaled file systems→add an enhanced journaled file system选择VG→选择创建单位，挂载点，选择是否重新自动挂载→创建成功#lsvg –l linvg 查看创建的文件系统是否创建成功#mount /backup#lsvg –l linvg#smitty mksysb→选择挂载点→选择是否启动exclude，选择是否 create map files然后备份备份过程共可以克隆一个会话，#cd /tmp用ls –ltr查看最新生成的文件然后#cd mksysb.13893824→#ls –ltr里边.archive.list.13893824为要备份哪些文件_mksysb.13893824里边为已经备份了哪些文件，还可以用#more /image.data查看data信息；用#wc –l backup一个目录是查看这个目录下边有多少个文件注意：#smitty mksysb只备份rootvg 如果需要备份其他vg 使用#smitty savevg #smitty vg→back up a volume guoup→就是savevg备份文件系统可以#smitty fs#dd if=/dev/fslv00 of=/inst/aa.d count=1024把fslv00前1024个字节移动到aa.d文件 aa.d必须是读写的设备管理13、设备按照读写方式一般可分为两种类型：块设备和字符设备ls -l /dev b开头的是块设备 c开头的是字符设备 d开头的是目录设备号是一个数字，由主设备号(major number)和次设备号(minor number)组成：主设备号标志这设备的类型，次设备号有相应的设备驱动程序解释，常常标志着具体的物理设备。

1、系统错误日志存放路径：/var/adm/ras/errlog说明：该日志记录了系统所检测到的软硬件故障和错误，尤其对系统的硬件故障有很大的参考价值，是AIX提供的最有价值的日志之一，errlog 文件用more或者其他文本的查看命令来打开我们看到的只是一对乱码，为了能够查看错误日志文件需要使用aix的errpt命令，如：errpt 列信息；errpt –a列详细信息，详细使用方法可以参考man，2、用户的登录日志存放路径：/var/adm/wtmp /var/adm/sulog说明：这些日志记录了用户登录和访问服务器的情况信息，具体的日志文件有wtmp、、sulog 等，它们记录的分别是不同的事件，wtmp记录的是历史的login和lognout信息，可以用last 命令访问。

sulog记录的是用户用su命令转变为另一用户的信息。

who、last等这些命令可以查看wtmp和sulog的内容如：Last –f wtmp我们想查看最近10次登录的用户和他们的地址，可以用如下命令：last -103、用户的失败登录日志存放路径：/etc/security/failedlogin说明：这些日志记录了用户登录和访问服务器失败的情况信息，登录失败的情况单独记录在该日志中，可以用who命令来查看。

4、集群管理软件hacmp的日志存放路径：/tmp/hacmp.out说明：HACMP是IBM提供的确保系统运行可靠性的集群套件，HACMP在每次启动和关闭时都要经历一段时间以停止服务和转换文件系统，我们可以通过对HACMP。

OUT日志文件的跟踪实时的了解HACMP在启动和关闭时的信息，如出现启动失败则可以帮助我们定位错误。

可以使用tail进行跟踪，tail –f /tmp/hacmp.out5、系统启动错误日志存放路径：/var/adm/ras/bootlog说明：该日志可以跟踪系统在Boot过程中发生的问题，包括服务器液晶板上的代码信息都有记载。

AIX用snap抓取日志
AIX 用snap抓取日志
2010-07-06 11:04:06| 分类：学涯 | 标签： |字号大中小订阅在AIX系统里执行如下2条命令：
snap -r 回车(会提示您选YES或NO，选Y)
snap -gc 回车
完成后，会建立个文件，位于/tmp/ibmsupt 下，文件名是snap.pax.Z。

用ftp收集生成好的snap.pax.Z文件，方法如下：
1.运行里输入“CMD ” ---ftp +空格+主机ip地址，然后输入用户名和密码进入
ftp>lcd D:\ 回车-----------将要下载的snap文件放到d盘根目录下面（也可以放到其他盘）
ftp> cd /tmp/ibmsupt 回车
ftp>binary 回车-----------二进制下载
ftp> get snap.pax.Z 回车--------------get snap by binary mode .
2.完成后，到D盘根目录下找到snap.pax.Z文件，注意这是个压缩文件。

AIX操作系统错误日志及日常维护一、系统故障记录(errorlog)errdemon 进程在系统启动时自动运行记录包括硬件软件及其他操作信息故障记录文件为/var/adm/ras/errlog 可备份下来或拷贝到别的机器上分析errpt 命令的使用(普通用户权限也可使用)#errpt |more 列出简短出错信息ERROR_ID TIMESTAMP T C RESOURCE_NAME ERROR_DESCRIPTION192ACror logging turned off038FTIMESTAMP: MMDDHHMMYY (月日时分年T 类型: P 永久; T 临时; U 未知永久性的错误应引起重视C 分类: H 硬件; S 软件; O 用户; U未知#errpt -d H 列出所有硬件出错信息#errpt -d S 列出所有软件出错信息#errpt -aj ERROR_ID 列出详细出错信息# errpt -aj 0502f666 <--- ERROR_ID用大小写均可，例：LABEL: SCSI_ERR1ID: 0502F666Date/Time: Jun 19 22:29:51Sequence Number: 95Node ID: host1Class: HType: PERMResource Name: scsi0Resource Class: adapterResource Type: hscsiLocation: 00-08VPD: <--- Virtal Product DataDevice Driver Level (00)Diagnostic Level (00)Displayable Message.........SCSIEC Level....................C25928FRU Number..................30F8834 Manufacturer................IBM97FPart Number.................59F4566Serial Number (00002849)ROS Level and ID (24)Read/Write Register Ptr (0120)DescriptionADAPTER ERRORProbable CausesADAPTER HARDWARE CABLECABLE TERMINATOR DEVICEFailure CausesADAPTERCABLE LOOSE OR DEFECTIVERecommended ActionsPERFORM PROBLEM DETERMINATION PROCEDURESCHECK CABLE AND ITS CONNECTIONSDetail DataSENSE DATA0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000二、控制面板上的LED 代码.8 位代码通常系统故障灯会同时亮起某些机型还会同时显示故障设备位置代码.4 位代码通常是Exxx.3 位代码通常为0yyy 只看后3位.8 位和4位代码可查看系统服务手册 (Service Guide)3 位代码可查看系统诊断手册(Diagnostic Information for Multiple Bus System).闪动的 888, 系统崩溃硬件或软件原因造成按reset 键会显示更多内容888-102 一般为软件故障888-102-207 例外系统会产生一个dump888-102-xxx-0C9 系统正在做dump, 请等待888-102-xxx-0C0 系统dump完成可关电重启888-103 或 105硬件故障一般有 SRN 代码及位置代码三、其他用于收集系统信息的命令lsdev -C 系统设备信息#lsdev -Cc diskhdisk0 Available 00-06-00-2,0 4.5 GB 16 Bit SCSI Disk Drivehdisk1 Available 00-06-00-1,0 4.5 GB 16 Bit SCSI Disk Drivehdisk2 Defined 00-06-00-4,0 16 Bit SCSI Disk Drivelspv 查看物理卷信息#lspvhdisk0 0007821160af3d76 rootvghdisk1 000782117f571294 rootvghdisk2 0000000045c45bde datavglsvg 查看卷组信息#lsvg datavgVOLUME GROUP: datavg VG IDENTIFIER: 0000000055e2458bVG STATE: active PP SIZE: 4 megabyte(s)VG PERMISSION: read/write TOTAL PPs: 2169 (8676 megabytMAX LVs: 256 FREE PPs: 1 (4 megabytes)LVs: 3 USED PPs: 2168 (8672 megabytOPEN LVs: 2 QUORUM: 2TOTAL PVs: 1 VG DESCRIPTORS: 2STALE PVs: 0 STALE PPs: 0ACTIVE PVs: 1 AUTO ON: yesMAX PPs per PV: 2032 MAX PVs: 16#lsvg -l rootvgrootvg:LV NAME TYPE LPs PPs PVs LV STATE MOUNT POINThd5 boot 1 1 1 closed/syncd N/A...lv00 jfs 51 102 1 closed/stale /ibmcxxlv01 jfs 1 1 1 open/syncd /cics_regionslv02 jfs 4 4 1 open/syncd /var/mqmlslpp 查看文件组信息# lslpp -L |grep 23100020....100020.rte 4.3.2.7 C IBM PCI 10/100 Ethernet Adapt看某个文件组是否已安装如以太网卡驱动也用于查询补丁程序的版本lsattr 查看设备参数设置# lsattr -El ent2busio 0x7fffc00 Bus I/O address Falsebusintr 9 Bus interrupt level Falseintr_priority 3 Interrupt priority Falsetx_que_size 512 TRANSMIT queue size Truerx_que_size 256 RECEIVE queue size Truerxbuf_pool_size 384 RECEIVE buffer pool size Truemedia_speed 10_Half_Duplex Media Speed Trueuse_alt_addr no Enable ALTERNATE ETHERNET address Truealt_addr 0x000000000000 ALTERNATE ETHERNET address Trueip_gap 96 Inter-Packet Gap Truelscfg 查看VPD信息Virtual Product Data)# lscfg -vl ssa1DEVICE LOCATION DESCRIPTIONssa1 30-68 IBM SSA Enhanced RAID Adapter(14104500)Part Number.................097H0645FRU Number..................097H0645 <-- 备件号Serial Number...............C8217227EC Level....................0000F20825 Manufacturer................IBM053ROS Level and ID............7201 <-- 微码版本Loadable Microcode Level (04)Device Driver Level (00)Displayable Message.........SSA-ADAPTERDevice Specific.(Z0)........DRAM=032Device Specific.(Z1)........CACHE=0Device Specific.(Z2)........000000062955dab2Device Specific.(YL)........P2-I7 <-- 槽号不同的硬件设备有不同的VPD 所含的格式和信息都不一样通常备件号和微码版本最有参考价值注FRU(Field Replace Unit)才是真正的备件号。

AIX设备安装与日志跟踪专题文档密级内部公开AIX设备安装与日志跟踪专题华为技术有限公司版权所有侵权必究修订记录AIX设备安装与日志跟踪关键词：Aix、lsdev、lspv、diag等摘要：本文提供工程师对AIX操作设备安装及日志跟踪参考。

缩略语清单：无参考资料清单：无概要：本文讨论AIX系统中各种确认设备安装的方法，这些方法有利于记录系统错误信息，然后采用一定的措施来解决系统故障。

同时也讨论使用系统日志记录任何想要记录的信息。

第一章列出各种硬件设备的方法1.1 lsdev显示在系统中的设备及其属性，语法：lsdev -C [ -c Class ] [ -s Subclass ] [ -t Type ] [ -f File ][ -F Format | -rColumnName ] [ -h ] [ -H ] [ -l Name ][ -S State ]lsdev -P [-c Class ] [ -s Subclass ] [ -t Type ] [ -f File ][ -F Format | -rColumnName ] [ -h ] [ -H ]参数意义：-C：列出在自定义设备对象类中的设备信息，C是customized，通常列出设备名、状态、位置、描述，不能和－P一起使用；-c class：指定输出设备的类；-H：在输出栏中显示每栏的头；-h：显示命令使用消息；-P：显示预定义设备对象类中的设备信息，P是predefined，通常列出类、类型、子类、描述，不能和-C、-l、-S一起使用；-S State：列出所有在指定状态的设备。

1.2 lspv 显示在卷组中的物理卷的信息，语法：lspv [ -l | -p | -M ] [ -n DescriptorPhysicalVolume] [-v VolumeGroupID]PhysicalVolume参数意义：－p：列出每个物理卷中物理分区范围、状态、在盘体中的区域（如outer、center等）、LV名、类型和mount点；－v VGID：访问基于卷组ID变量的信息1.3、lsattr显示给定设备或给定设备种类的属性信息，语法：lsattr { -D [ -O ] | -E [ -O ] | -F Format } -l Name [ -a Attribute ] [ -f File ] [ -h ][ -H ]lsattr { -D [ -O ] | -F Format } { [ -c Class ] [ -s Subclass ] [ -t Type ] }[ -aAttribute ] ... [ -f File ] [ -h ] [ -H ]lsattr -R { -l Name | [ -c Class ] [ -s Subclass ] [ -t Type ] } -a Attribute [ -f File ][ -h ] [ -H ]参数意义：－D：显示属性名、默认值、描述、不使用－O参数的指定设备中用户可设定的参数值，当使用－O参数的时候，只显示属性名，默认值－E：显示属性名、当前值、描述、不使用－O参数的指定设备中用户可设定的参数值，当使用－O参数时，只显示属性名，当前值，这个参数不和－c，－D，－F，－R，－s，－t一起使用－F format：以指定的格式显示输出－a attribute：显示指定设备或设备种类的属性－c class：指定设备类名，不能和－E和－l参数一起使用－f file：从文件中读取需要的参数－H：在输出中显示栏标题，把－H和－O或－R一起使用没有意义，－O或－R优先－l：指定要显示其属性名和values的自定义设备对象类中设备逻辑名，这些设备在/dev下都列出来了－O：显示所有属性名，以冒号分开，第二行显示所有相应的属性值－R：显示一个属性名的合法值，不能和－D，－E，－F和－O参数一起使用，但可以和－c，－s，－t，－l参数一起使用，显示结果以垂直列表的方式显示，－R参数可以显示从x到n的范围的属性值。

aix学习日志（一）之存储组件！存储组件一般包括文件，目录，文件系统，逻辑存储，物理存储，逻辑卷管理器。

一般来说，用户使用文件和目录，系统管理员使用其他构件。

传统上，磁盘空间划分是用分区来实现的。

用户必须事先确定各个分区的大小。

每个文件系统位于一个分区中。

改变文件系统和分区的大小过程繁杂且耗时：备份文件系统，删除分区，建立新分区并恢复文件系统。

分区的限制主要基于这个事实：每个分区都必须位于连续磁盘空间上，这就使得一个分区只能在一个物理硬盘上，他不能够跨硬盘。

而一个文件系统只能为于一个分区上，所以文件系统和文件的大小就受限于最大物理硬盘的大小。

逻辑卷管理器（lvm）的优点：逻辑卷可以使用不连续的磁盘空间；逻辑卷可以跨硬盘；可动态扩展逻辑卷的大小；逻辑卷可镜像；硬盘可方便地加入系统存储体系；逻辑卷可重定位。

物理存储：物理卷（physical volume pv）：物理硬盘；物理分区（physical partition）：物理卷上的最小分配单位；卷组（volume group vg）：相关物理卷的集合。

物理卷可以是内置或外置的物理硬盘。

物理卷使用前必须在其上建立一个卷组，或者把物理卷加入一个现有的卷组中，也就是说物理卷必须属于某个卷组，才能使用。

当一个物理硬盘加入系统中时，/dev目录下会相应地产生一个设备文件/dev/hdiskn，这个文件可以直接访问不过一般不这样做。

物理卷划分为划分为物理分区，他是aix中的基本磁盘空间分配单位，一个卷组中的所有物理分区大小相同。

卷组是aix中最大的存储分配单位，一般是用一个应用目的准备一个卷组。

一个卷组由整数个硬盘组成，卷组不能跨硬盘。

一个卷组（例如由一组外部scsi磁盘组成的卷组）可以从一个系统上卸掉并挂接在令一个系统上。

卷组：可以为卷组增加新硬盘；外部硬盘应该包含在独立的卷组中；建立新卷组的原因：将用户文件系统与操作系统文件分开，安全性原因，维护原因，数据可移动性。

收集小型机snap文件步骤
1. telnet登陆AIX操作系统
2.输入命令：# snap -r 清除系统中保存的旧snap文件系统会提示以下信息：The following directories and files will be deleted: ----------------------------------------------------------- /tmp/ibmsupt/general (directory) /tmp/ibmsupt/other (directory) /tmp/ibmsupt/testcase (directory) /tmp/ibmsupt/pcixscsi (directory) Do you want me to remove these directories (y/n)? 输入y后回车
3.然后输入命令：# snap -gc 系统会开始收集系统日志信息，屏幕上会有进度显示。

此过程约需5分钟。

4.输入命令# cd /tmp/ibmsupt 进入目录/tmp/ibmsupt，查看其中文件名为snap.pax.Z的文件其文件时间属性应该为当前系统日期，表明该文件为刚刚收集的snap系统日志。

6. 使用ftp工具，用二进制（bin）传输模式，将/tmp/ibmsupt目录中的snap.pax.Z文件拷贝出来，(最好重新命名，比如：20090210.hostname.snap.pax.Z)，然后发送给我们谢谢！。

AIX安全加固-Robin的日志-网易博客第1章系统基本信息uname -a 显示系统信息(硬件编号,系统名称,主机名,操作系统的version和release)oslevel 显示系统版本who -r 系统当前的runlevel第2章系统网卡信息ifconfig –a 显示系统内所有网卡信息第3章系统路由信息netstat –nr 显示系统路由信息第4章网络连接信息netstat –na 显示系统当前所有网络连接的状态第5章操作系统进程信息ps –ef 显示系统内所有的进程第6章文件系统基本权限信息检查基本的目录权限:[Copy to clipboard]CODE://etc/usr/var/tmp/dev/sbin/home/usr/bin/usr/lib/usr/sbin/var/adm/var/spool检查主要的配置文件权限:[Copy to clipboard]CODE:/etc/passwd/etc/security/passwd/etc/security/user/etc/security/login.cfg/etc/inittab使用find命令查找所有setuid,setgid和全局可写的文件和目录.find / -perm -4000 -ls 查找所有setuid的文件find / -perm -2000 -ls 查找所有setgid的文件find / -perm -0004 -ls 查找所有全局可写的文件和目录第7章系统是否允许root远程登录7.1.检查AIX系统中没有对root远程登录进行单独的限制,和其他用户一样,对root用户远程登录的限制可以在文件/etc/security/user中指定.该操作可以通过以下三种方式进行:1.使用vi直接查看及更改/etc/security/user文件;2.使用lsuser和chuser命令;3.通过smit查看及更改(smit lsuser,smit chuser).lsuser -a rlogin root 查看root的rlogin属性(默认为true,允许远程登录,telnet或rlogin)chuser rlogin=false root 禁止root远程登录lsuser -a ttys root 查看root的ttys属性(root用户允许登录的端口)chuser ttys=lft0 root 只允许root从lft0端口登录(本机)7.2.加固设置root的用户属性rlogin=false，ttys=lft0第8章 rc?.d中的服务的启动情况8.1.检查AIX 系统中的服务主要在/etc/inittab文件和/etc/rc.*(包括rc.tcpip,rc.nfs)等文件中启动,事实上,/etc/rc.* 系列文件主要也是由/etc/inittab启动.同时,AIX中所有启动的服务(至少是我们感兴趣的)都可以同过SRC(System Resource Manager)进行管理.可以有三种方式查看系统服务的启动情况:1.使用vi查看/etc/inittab,/etc/rc.tcpip和/etc/rc.nfs等文件(比较麻烦);2.使用lssrc和lsitab命令;3.通过smit查看和更改.注:SRC本身通过/etc/inittab文件启动.lssrc -a 列出所有SRC管理的服务的状态lsitab -a 列出所有由/etc/inittab启动的信息,和cat /etc/inittab 基本相同,除了没有注释.8.2.加固检查以下服务,如果不需要,关闭掉;否则,对服务做适当配置.第9章 /etc/inetd.conf中服务的启动情况9.1.检查由INETD启动的服务在文件/etc/inetd.conf定义(inetd本身在/etc/rc.tcpip中由SRC启动),因此查看INETD启动的服务的情况有两种方法:1.使用vi查看/etc/inetd.conf中没有注释的行;2.使用lssrc命令.lssrc -l -s inetd 查看inetd的状态以及由INETD启动的服务的状态refresh -s inetd 更改/etc/inetd.conf文件后重启inetd.9.2.加固建议关闭由inetd启动的所有服务;如果有管理上的需要,可以打开telnetd,ftpd,rlogind,rshd等服务.启动或停止inetd启动的服务(例如ftpd):1、使用vi编辑/etc/inetd.conf,去掉注释(启动)或注释掉(停止)ftpd所在的行;2、重启inetd:refresh -s inetd.第10章是否允许系统用户使用ftp登录?10.1.检查和其他UNIX系统一样,AIX系统中使用/etc/ftpusers文件保存不允许通过ftp登录的用户的名称,因此可以直接查看该文件以确定是否允许某用户登录(默认该文件不存在).10.2.加固使用vi编辑/etc/ftpusers文件，将所有的系统用户和其他希望被禁止ftp登录的用户添加到该文件中(每行一个用户名).第11章系统中无用的用户是否删除或禁用11.1.检查询问系统管理员.passwd -l user1锁定user1用户11.2.加固建议锁定除了root以外所有的系统用户(默认是无法登录的).第12章口令策略的设置情况12.1.检查AIX系统的用户,口令设置的相关文件有:/etc/passwd 用户文件(不含加密的口令)/etc/security/passwd 用户的口令文件(类似于/etc/shadow文件,但格式不同)/etc/security/user 用户的扩展属性配置文件(锁定,登录,口令策略等)/etc/security/login.cfg 登录的配置文件(登录策略等)因此,对口令策略的修改主要是在/etc/security/user文件中进行,有以下三种方式:1.使用vi直接查看和修改/etc/security/user文件;2.使用lsuser/chuser命令;3.通过smit查看和修改口令策略(smit chuser).lsuser user1 列出用户user1的属性chuser maxage=26 user1 设置用户user1密码的最长有效期为26周12.2.加固对用户的以下属性进行配置：maxage=8 口令最长有效期为8周minage=0 口令最短有效期为0maxexpired=4 口令过期后4周内用户可以更改maxrepeats=3 口令中某一字符最多只能重复3次minlen=8 口令最短为8个字符minalpha=4 口令中最少包含4个字母字符minother=1 口令中最少包含一个非字母数字字符mindiff=4 新口令中最少有4个字符和旧口令不同loginretries=5 连续5次登录失败后锁定用户histexpire=26 同一口令在26周内不能重复使用histsize=0 同一口令与前0个口令不能重复第13章登录策略的设置情况13.1.检查登录策略主要在/etc/security/login.cfg中定义,可以通过以下三种方式调整:1.使用vi直接查看和修改/etc/security/login.cfg文件;2.使用chsec命令;3.通过smit查看和更改登录策略(smit chsec).lssec -f /etc/security/login.cfg -s default 列出默认的端口登录策略chsec -f /etc/security/login.cfg -s /dev/lft0 -a logindisable=3 三次连续失败登录后锁定端口13.2.加固对以下登录策略进行设置:logindelay=2 失败登录后延迟2秒显示提示符logindisable=3 3次失败登录后锁定端口logininterval=60 在60秒内3次失败登录才锁定端口loginreenable＝15 端口锁定15分钟后解锁第14章系统是否启用信任主机方式(.rhost、hosts.equiv),配置文件是否配置妥当14.1.检查检查rlogin,rsh,rexec服务是否启动.如果启动,查看配置文件/etc/hosts.equiv(全局配置文件)和~/.rhosts(单独用户的配置文件)文件,检查文件是否配置妥当.14.2.加固建议关闭R系列服务(rlogin,rsh,rexec);如果不能关闭(例如HACMP需要rsh的打开),则需要检查配置文件,确保没有失当的配置(例如单行的"+"或"+ +").第15章是否以安全模式加载文件系统(如ro,nosuid)与其他UNIX系统不同，AIX文件系统的配置文件是/etc/filesystems(BSD/Linux是/etc/fstab,Solaris是/etc/vfstab).使用mount命令可以查看当前加载的文件系统及加载选项.mount 查看当前加载的文件系统属性第16章 root的环境变量设置16.1.检查用户的环境变量主要在以下文件中设置:/etc/profile 全局的用户登录配置文件,其中可以设置环境变量~/.profile 单独用户的登录配置文件,其中可以设置环境变量/etc/environment 全局的环境变量设置文件/etc/security/environ 可以在其中对单独用户设置环境变量因此,对root的环境变量进行设置可以通过/etc/security/environ 文件进行:1.使用vi直接查看和修改/etc/security/environ文件;2.使用chsec命令;3.使用smit chsec.printenv 查看当前的环境变量设置chsec -f /etc/security/environ -s root -a TERM=vt100 设置root的TERM环境变量为vt10016.2.加固检查环境变量PATH,确保其中不包含本地目录(.).第17章通用用户的环境变量设置参看18(root的环境变量设置).通用用户的环境变量主要可以通过/etc/environment文件进行修改.第18章syslog日志的配置情况(例如:记录何种信息,是否本地存放)和其他的UNIX系统一样,syslog的配置主要通过/etc/syslog.conf 配置.日志信息可以记录在本地的文件当中(如/var/adm/messages)或远程的主机上(@hostname).startsrc -s syslogd 启动syslog服务stopsrc-s syslogd 停止syslog服务第19章系统内核参数的配置情况(主要考虑安全相关的网络参数)19.1.检查AIX系统网络参数可以通过no命令进行配置,比较重要的网络参数有:icmpaddressmask=0 忽略ICMP地址掩码请求ipforwarding=0 不进行IP包转发ipignoreredirects=1 忽略ICMP重定向包ipsendredirects=0 不发送ICMP重定向包ipsrcrouteforward=0 不转发源路由包ipsrcrouterecv=0 不接收源路由包ipsrcroutesend=0 不发送源路由包no -a 显示当前配置的网络参数no -o icmpaddressmask=0 忽略ICMP地址掩码请求19.2.加固在/etc/文件重添加以下命令:/usr/sbin/no -o icmpaddressmask=0/usr/sbin/no -o ipforwarding=0/usr/sbin/no -o ipignoreredirects=1/usr/sbin/no -o ipsendredirects=0/usr/sbin/no -o ipsrcrouteforward=0/usr/sbin/no -o ipsrcrouterecv=0/usr/sbin/no -o ipsrcroutesend=0第20章是否修改系统的banner信息,防止系统泄漏信息通过login登录系统时的banner信息可以在/etc/security/login.cfg中使用属性herald设置,通过直接修改文件或使用chsec命令都可以进行.chsec -f /etc/security/login.cfg -s default -a herald="hello" 设置默认的banner为hello第21章是否对网络连接设置访问控制除了在信任主机模式(R命令)中可以按照主机地址进行访问控制外,AIX在默认安装时没有提供其他的主机访问控制方式(如防火墙.tcpwrapper等).第22章 CDE是否限定任意用户XDMCP登录连接XDMCP的访问控制可以在文件/usr/dt/config/Xaccess文件中设置,通过注释所有的行可以方便的禁止远程主机的访问.第23章 Cron/At的使用情况Cron/At的相关文件主要有以下几个:/var/spool/cron/crontabs 存放cron任务的目录/var/spool/cron/cron.allow 允许使用crontab命令的用户/var/spool/cron/cron.deny 不允许使用crontab命令的用户/var/spool/cron/atjobs 存放at任务的目录/var/spool/cron/at.allow 允许使用at的用户/var/spool/cron/at.deny 不允许使用at的用户使用crontab和at命令可以分别对cron和at任务进行控制.crontab -l 查看当前的cron任务at -l 查看当前的at任务第24章NFS的配置情况NFS系统的组成情况:nfsd NFS服务进程,运行在服务器端,处理客户的读写请求mountd 加载文件系统服务进程,运行在服务器端,处理客户加载nfs文件系统的请求biod 客户端服务进程,运行在客户端,处理客户对服务器的请求/etc/exports 定义服务器对外输出的NFS文件系统/etc/filesystems 定义客户端加载的NFS文件系统如果系统不需要NFS服务,可以使用rmnfs关闭NFS服务;如果不能关闭,使用showmount -e或直接查看/etc/exports文件检查输出的文件系统是否必要,以及属性是否妥当(readonly等).lssrc -l -s nfs 显示NFS服务的运行状态mknfs 启动NFS服务,并在启动文件中(/etc/inittab)添加NFS的启动项rmnfs 停止NFS服务，并从启动文件中(/etc/inittab)删除NFS的启动项showmount -e 显示本机输出的NFS文件系统mount 显示本机加载的文件系统(包括NFS文件系统)第25章 SNMP的配置情况如果系统不需要SNMP服务,可以关闭该服务(使用stopsrc -s snmpd停止服务并在/etc/rc.tcpip中注释掉);如果不能关闭,需要在/etc/snmpd.conf中指定不同的community name.lssrc -l -s snmpd 显示SNMP服务的运行状态startsrc -s snmpd 启动SNMP服务stopsrc -s snmpd 停止SNMP服务第26章 Sendmail的配置情况如果系统不需要Sendmail服务,可以关闭该服务(stopsrc -ssendmail停止服务并在/etc/rc.tcpip中注释掉);如果不能关闭,将sendmail服务升级到最新,并在其配置文件/etc /sendmail.cf中指定不同banner(参见示例).lssrc -l -s sendmail 显示Sendmail的运行状态startsrc -s sendmail 启动Sendmailstopsrc -s sendmail 停止SendmailDNS(Bind)的配置情况如果系统不需要DNS服务,可以关闭该服务(stopsrc -s named停止服务并在/etc/rc.tcpip中注释掉);如果不能关闭,将DNS服务升级到最新,并在其配置文件修改版本号(参见示例).lssrc -l -s named 显示DNS服务的运行状态startsrc -s named 启动DNS服务stopsrc -s named 停止DNS服务。

AIX系统的安全日志来源：神马新浮云点击：89 次2011-07-04 【易创Cms：让建站更简单】[导读] AIX系统的安全日志 AIX系统不仅通过用户权限来限制用户的使用，提高系统的安全，另外，还通过安全日志文件来记录用户的安全活动信息。

这些文件包括/var/adm/sulog、/var/adm/wtmp、/etc/utmp、/etc/security/failedlogin。

下面就对上述文件进行解释一、/var/adm/sulog文件：记AIX系统的安全日志AIX系统不仅通过用户权限来限制用户的使用，提高系统的安全，另外，还通过安全日志文件来记录用户的安全活动信息。

这些文件包括/var/adm/sulog、/var/adm/wtmp、/etc/utmp、/etc/security/failedlogin。

下面就对上述文件进行解释一、/var/adm/sulog文件：记录每次执行su命令的日志。

/var/adm/sulog文件记录了每个用户每次使用su命令的记录，所以使用su命令可以留下痕迹。

该文件内容为文本内容，可以用more、pg、cat命令查看文件内容。

该文件记录了执行su命令的日期、时间和终端，还包括执行su命令的用户以及切换的用户名。

下图是执行cat命令查看sulog文件的结果：# cat /var/adm/sulog其中‘+’号表示su用户成功，‘-’号表示su切换用户失败。

‘root – mqm’表示从root用户切换到mqm用户。

二、/var/adm/wtmp文件：当用户登录成功后，会在该文件中添加一条关于登录用户的信息。

该记录包括登录的用户名，登录的方式--是终端还是ftp，登录用户IP地址，登录日期，在系统内保持的时间范围，特殊操作，如关机，重启等。

该文件需要用who命令或者last命令查看。

1、last命令：last命令默认打开/var/adm/wtmp文件，执行在提示符下执行last命令就会显示用户的登录信息。

aix系统使用定时任务每天备份清理nohup日志操作步骤-----------------------------------异地转移部分——------------------------------登录115服务器，切换到sbc用户cd /nfs_app/sitrbpzyvi copyzylog.sh,在脚本中添加如下内容：cp/usr/bea/user_projects/domains/sitrbzy_domain/sitrbpzy1.log /nfs_app/sitrbpzy/log/sitrbpzy1.`date"+%Y-%m-%d~%H:%M"`.log>/usr/bea/user_projects/domains/sitrbzy_domain/sitrbpzy1.log 保存退出执行chmod 775 copyzylog.sh执行crontab -e 在编辑模式下，输入如下内容：59 23 * * * /nfs_app/sitrbpzy/copyzylog.sh保存退出以上操作均在sbc用户下进行登录116服务器，切换到sbc用户cd /nfs_app/sitrbpzyvi copyzylog.sh,在脚本中添加如下内容：cp/usr/bea/user_projects/domains/sitrbzy_domain/sitrbpzy2.log /nfs_app/sitrbpzy/log/sitrbpzy2.`date"+%Y-%m-%d~%H:%M"`.log>/usr/bea/user_projects/domains/sitrbzy_domain/sitrbpzy2.log 保存退出执行chmod 775 copyzylog.sh执行crontab -e 在编辑模式下，输入如下内容：59 23 * * * /nfs_app/sitrbpzy/copyzylog.sh保存退出以上操作均在sbc用户下进行-----------------------------------异地退管部分--------------------------------登录115服务器，切换到sbc用户cd /nfs_app/sitrbptgmkdir logvi copytglog.sh,在脚本中添加如下内容：cp/usr/bea/user_projects/domains/sitrbtg_domain/sitrbptg2.log /nfs_app/sitrbptg/log/sitrbptg2.`date"+%Y-%m-%d~%H:%M"`.log>/usr/bea/user_projects/domains/sitrbtg_domain/sitrbptg2.log 保存退出执行crontab -e 在编辑模式下，输入如下内容：59 23 * * * /nfs_app/sitrbptg/copytglog.sh保存退出cd /usr/bea/user_projects/domains/sitrbtg_domainvi starttg2.sh 将原来的重定向符号 > 修改成 >>重启退管服务 sh starttg2.sh以上操作均在sbc用户下进行登录116服务器，切换到sbc用户cd /nfs_app/sitrbptgmkdir logvi copytglog.sh,在脚本中添加如下内容：cp/usr/bea/user_projects/domains/sitrbtg_domain/sitrbptg1.log /nfs_app/sitrbptg/log/sitrbptg1.`date"+%Y-%m-%d~%H:%M"`.log>/usr/bea/user_projects/domains/sitrbtg_domain/sitrbptg1.log 保存退出执行crontab -e 在编辑模式下，输入如下内容：59 23 * * * /nfs_app/sitrbptg/copytglog.sh保存退出cd /usr/bea/user_projects/domains/sitrbtg_domainvi starttg1.sh 将原来的重定向符号 > 修改成 >>重启退管服务 sh starttg1.sh以上操作均在sbc用户下进行。