Linux系统监视及日志管理
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
users 、who、w、last、lastb
程序日志分析
• 由相应的应用程序独立进行管理
Web服务:/var/log/httpd/
access_log、error_log
代理服务:/var/log/squid/
access.log、cache.log、squid.out、store.log
用户日志分析
• 保存了用户登录、退出系统等相关信息
/var/log/lastlog:最近的用户登录事件 /var/log/wtmp:用户登录、注销及系统开、关机 事件 /var/run/utmp:当前登录的每个用户的详细信息 /var/log/secure:与用户验证相关的安全性事件
• 分析工具
内核及系统日志3-1
• 由系统服务 rsyslog统一管理
软件包:rsyslog-5.8.10-2.el6.x86_64 主要程序:/sbin/rsyslogd 配置文件:/etc/rsyslog.conf
[root@localhost ~]# grep -v "^#" /etc/rsyslog.conf | grep -v ^$ *.info;mail.none;authpriv.none;cron.none authpriv.* mail.* cron.* …… 设备类别.日志级别 /var/log/messages /var/log/secure -/var/log/maillog /var/log/cron 消息发送位置
FTP服务:/var/log/xferlog ……
• 分析工具
文本查看、grep过滤检索、Webmin管理套件中查看 awk、sed等文本过滤、格式化编辑工具 Webalizer、Awstats等专用日志分析工具
日志管理策略2-1
• 及时作好备份和归档 • 延长日志保存期限 • 控制日志访问权限
查看信息命令
• uptime:当查看系统负载,1、5、15分钟 • free:查看内存使用情况,可以结合watch
watch –n 1 –d free 实时监控
• • • • • vmstat : 监视虚拟内存使用情况 mpstat: 专门监视CPU的性能 Iostat:监视I/O性能 netstat:监控网络 netstat -i -c 还可以用一些工具:phpsysinfo、ntop、kSar等
日志文件分析2-1
• 日志的功能
用于记录系统、程序运行中发生的各种事件 通过阅读日志,有助于诊断和解决系统故障
• 日志文件的分类
内核及系统日志
由系统服务syslog统一进来自百度文库管理,日志格式基本相似
用户日志
记录系统用户登录及退出系统的相关信息
程序日志
由各种应用程序独立管理的日志文件,记录格式不统一
内核及系统日志3-2
• 日志消息的级别
0 1 2 3 4 5 6 7 EMERG(紧急):会导致主机系统不可用的情况 ALERT(警告):必须马上采取措施解决的问题 CRIT(严重):比较严重的情况 ERR(错误):运行出现错误 WARNING(提醒):可能会影响系统功能的事件 NOTICE(注意):不会影响系统但值得注意 INFO(信息):一般信息 DEBUG(调试):程序或系统调试信息等
日志文件分析2-2
• 日志保存位置
默认位于:/var/log 目录下
• 主要日志文件介绍
内核及公共消息日志:/var/log/messages 计划任务日志:/var/log/cron 系统引导日志:/var/log/dmesg 邮件系统日志:/var/log/maillog 用户登录日志:/var/log/lastlog、/var/log/secure、 /var/log/wtmp、/var/run/btmp ……
系统监视和日志管理
/proc文件系统特点
/proc虚拟文件系统是一种内核和内核模块用来向 进程发送信息的机制,这个伪文件系统允许与内 核内部数据结构交互,获取有关用户进程的有用 信息,在运行中改变设置(通过改变内核参数), 存在于内存中,有3个重要目录: net;依赖于内核配置 sys ;可写,可通过其来访问和修改内核参数 scsi;依赖于内核配置,如果系统不支持scsi, 则不存在
日志中可能会包含各类敏感信息,如账户、口令 等
• 集中管理日志
便于日志信息的统一收集、整理和分析 杜绝日志信息的意外丢失、恶意篡改或删除
日志管理策略2-2
• 应用示例:
调整syslogd服务设置,建立集中管理的日志服务 器 将客户机B中crond服务产生的日志消息,自动发 送到服务器A的/var/log/cron文件中
/proc文件系统功能
/proc文件系统提供的信息如下: 进程信息:系统中的任何一个进程,均有一个同 名的进程ID。 系统信息:整个系统信息,如:cpu占用、磁盘空 间、内存页、全部中断等 CPU信息:利用/proc/cpuinfo文件可以获得 负载信息:/proc/loadavg文件 系统内存信息:/proc/meminfo文件
内核及系统日志3-3
• 日志记录的一般格式
[root@localhost ~]# tail -5 /var/log/messages
Sep 14 11:22:44 localhost kernel: sdb: cache data unavailable
Sep 14 11:22:44 localhost kernel: sdb: assuming drive cache: write through Sep 14 11:22:44 localhost kernel: sdb: sdb1 Sep 14 11:23:37 localhost kernel: VFS: Can't find ext3 filesystem on dev sdb1. Sep 14 16:54:48 localhost NetworkManager: <information> starting... 时间标签 主机名 子系统名 消息字段
服务器A [root@localhost ~]# vi /etc/rsyslog.conf cron.* 客户机B @173.17.17.3
[root@localhost ~]# vi /etc/sysconfig/rsyslog
SYSLOGD_OPTIONS="-r -x -m 0"
程序日志分析
• 由相应的应用程序独立进行管理
Web服务:/var/log/httpd/
access_log、error_log
代理服务:/var/log/squid/
access.log、cache.log、squid.out、store.log
用户日志分析
• 保存了用户登录、退出系统等相关信息
/var/log/lastlog:最近的用户登录事件 /var/log/wtmp:用户登录、注销及系统开、关机 事件 /var/run/utmp:当前登录的每个用户的详细信息 /var/log/secure:与用户验证相关的安全性事件
• 分析工具
内核及系统日志3-1
• 由系统服务 rsyslog统一管理
软件包:rsyslog-5.8.10-2.el6.x86_64 主要程序:/sbin/rsyslogd 配置文件:/etc/rsyslog.conf
[root@localhost ~]# grep -v "^#" /etc/rsyslog.conf | grep -v ^$ *.info;mail.none;authpriv.none;cron.none authpriv.* mail.* cron.* …… 设备类别.日志级别 /var/log/messages /var/log/secure -/var/log/maillog /var/log/cron 消息发送位置
FTP服务:/var/log/xferlog ……
• 分析工具
文本查看、grep过滤检索、Webmin管理套件中查看 awk、sed等文本过滤、格式化编辑工具 Webalizer、Awstats等专用日志分析工具
日志管理策略2-1
• 及时作好备份和归档 • 延长日志保存期限 • 控制日志访问权限
查看信息命令
• uptime:当查看系统负载,1、5、15分钟 • free:查看内存使用情况,可以结合watch
watch –n 1 –d free 实时监控
• • • • • vmstat : 监视虚拟内存使用情况 mpstat: 专门监视CPU的性能 Iostat:监视I/O性能 netstat:监控网络 netstat -i -c 还可以用一些工具:phpsysinfo、ntop、kSar等
日志文件分析2-1
• 日志的功能
用于记录系统、程序运行中发生的各种事件 通过阅读日志,有助于诊断和解决系统故障
• 日志文件的分类
内核及系统日志
由系统服务syslog统一进来自百度文库管理,日志格式基本相似
用户日志
记录系统用户登录及退出系统的相关信息
程序日志
由各种应用程序独立管理的日志文件,记录格式不统一
内核及系统日志3-2
• 日志消息的级别
0 1 2 3 4 5 6 7 EMERG(紧急):会导致主机系统不可用的情况 ALERT(警告):必须马上采取措施解决的问题 CRIT(严重):比较严重的情况 ERR(错误):运行出现错误 WARNING(提醒):可能会影响系统功能的事件 NOTICE(注意):不会影响系统但值得注意 INFO(信息):一般信息 DEBUG(调试):程序或系统调试信息等
日志文件分析2-2
• 日志保存位置
默认位于:/var/log 目录下
• 主要日志文件介绍
内核及公共消息日志:/var/log/messages 计划任务日志:/var/log/cron 系统引导日志:/var/log/dmesg 邮件系统日志:/var/log/maillog 用户登录日志:/var/log/lastlog、/var/log/secure、 /var/log/wtmp、/var/run/btmp ……
系统监视和日志管理
/proc文件系统特点
/proc虚拟文件系统是一种内核和内核模块用来向 进程发送信息的机制,这个伪文件系统允许与内 核内部数据结构交互,获取有关用户进程的有用 信息,在运行中改变设置(通过改变内核参数), 存在于内存中,有3个重要目录: net;依赖于内核配置 sys ;可写,可通过其来访问和修改内核参数 scsi;依赖于内核配置,如果系统不支持scsi, 则不存在
日志中可能会包含各类敏感信息,如账户、口令 等
• 集中管理日志
便于日志信息的统一收集、整理和分析 杜绝日志信息的意外丢失、恶意篡改或删除
日志管理策略2-2
• 应用示例:
调整syslogd服务设置,建立集中管理的日志服务 器 将客户机B中crond服务产生的日志消息,自动发 送到服务器A的/var/log/cron文件中
/proc文件系统功能
/proc文件系统提供的信息如下: 进程信息:系统中的任何一个进程,均有一个同 名的进程ID。 系统信息:整个系统信息,如:cpu占用、磁盘空 间、内存页、全部中断等 CPU信息:利用/proc/cpuinfo文件可以获得 负载信息:/proc/loadavg文件 系统内存信息:/proc/meminfo文件
内核及系统日志3-3
• 日志记录的一般格式
[root@localhost ~]# tail -5 /var/log/messages
Sep 14 11:22:44 localhost kernel: sdb: cache data unavailable
Sep 14 11:22:44 localhost kernel: sdb: assuming drive cache: write through Sep 14 11:22:44 localhost kernel: sdb: sdb1 Sep 14 11:23:37 localhost kernel: VFS: Can't find ext3 filesystem on dev sdb1. Sep 14 16:54:48 localhost NetworkManager: <information> starting... 时间标签 主机名 子系统名 消息字段
服务器A [root@localhost ~]# vi /etc/rsyslog.conf cron.* 客户机B @173.17.17.3
[root@localhost ~]# vi /etc/sysconfig/rsyslog
SYSLOGD_OPTIONS="-r -x -m 0"