linux系统日志分析.docVIP

RedHat系统日志分析 其实，可以说成是监控系统的记录，系统一举一动基本会记录下来。这样由于信息非常全面很重要，通常只有 root 可以进行视察！通过登录文件（日志文件）可以根据屏幕上面的错误讯息与再配合登录文件的错误信息，几乎就可以解决大部分的 Linux 问题！ 所以日志文件异常重要，作为一个合格的linux系统工程师，日志文件是必要熟练掌握的部分。 常见的几个登录文件有： /var/log/secure：记录登入系统存取数据的文件，例如 pop3, ssh, telnet, ftp 等都会被记录； /var/log/wtmp：记录登入者的讯息数据，由于本文件已经被编码过，所以必须使用 last指令来取出文件的内容； /var/log/messages：尤为重要，几乎发生的错误讯息（或是重要信息）都会被记录在此； /var/log/boot.log：记录开机或者是一些服务启动的时候，所显示的启动或关闭讯息； /var/log/maillog 或 /var/log/mail/*：纪录邮件存取或往来( sendmail 与 pop3 )的使用者记录； /var/log/cron：记录 crontab 这个例行性服务的内容的。 /var/log/httpd, /var/log/news, /var/log/mysqld.log, /var/log/samba, /var/log/procmail.log：分别是几个不同的网络服务的记录文件！ 登录文件的纪录程序之一： syslogd 通常经过 syslog 而记录下来的数据主要有： 事件发生的日期与时间； 发生此事件的主机名称； 启动此事件的服务名称 (如 samba, xinetd 等) 或函式名称 (如 libpam ..)； 该讯息数据内容 syslogd的daemon配置文件：/etc/syslog.conf 内容语法是这样的： 服务名称[.=!]讯息等级 讯息记录的文件名或装置或主机 # 例如底下： /var/log/maillog_info 服务名称：该服务产生的讯息会被纪录的意思。syslog 认识的服务主要有底下这些： auth, authpriv：主要与认证有关的机制，例如telnet, login, ssh 等需要认证的服务都是使用此一机制； cron：例行性命令 cron/at 等产生讯息记录的地方； daemon：与各个 daemon 有关的讯息； kern：核心 (kernel) 产生讯息的地方； lpr：打印相关的讯息！ mail：只要与邮件收发有关的讯息纪录都属于这个； news：与新闻群组服务器有关的东西； syslog：syslogd 这支程序本身产生的信息啊！ user, uucp, local0 ~ local7：与 Unix like 机器本身有关的一些讯息。 讯息等级 系统将讯息分为七个主要的等级，依序是由不重要排列到重要讯息等级： info：仅是一些基本的讯息说明而已； notice：比 info 还需要被注意到的一些信息内容； warning 或 warn：警示讯息，可能有问题，但是还不至于影响到某个 daemon 运作。 err 或 error ：一些重大的错误讯息，这就要去找原因了。 crit：比 error 还要严重的错误信息，crit 是临界点 (critical) 的缩写，已经很严重了！ alert：警告警告，已经很有问题的等级，比 crit 还要严重！ emerg 或 panic：疼痛等级，意指系统已经几乎要当机的状态！ 很严重的错误信息了。 除了这些有等级的讯息外，还有两个特殊的等级，那就是 debug(错误侦测等级) 与 none (不需登录等级) 两个，当要作一些错误侦测，或者是忽略掉某些服务的信息时，就用这俩！ 在讯息等级之前还有 [.=!] 的连结符号！他代表的意思是： . ：代表比后面还要高的等级(含该等级)都被记录下来的意思， 例如： 代表只要是 mail 的信息，而且该信息等级高于 info (含info )时，就会被记录下来。 .=：代表所需要的等级就是后面接的等级而已！ .!：代表不等于。 日志文件记录的文件名或装置或主机常见的放置处： 文件的绝对路径：通常就是放在 /var/log 里头的文件！ 打印机或其它：例如 /dev/lp0 这个打印机装置 （即使被黑客可以删除掉日志文件，但是最终删除不了打印出来的日志信息） 使用者名称：显示给使用者！ 远程主机：例如 @，要对方主机也能支持才行！ *：代表目前在线的所有人，类似 wall 这个指令的意义！ 看看在尚未开启网络服务的情况下来自 Fedora Core Release 4