linux系统日志分析.pdf

Linux 系统日志分析 Linux 系统日志分析是系统管理员必须掌握的重要技能之一。日志文件是系统管理员监控系统的记录，系统的一举一动基本都会记录下来。通过登录文件（日志文件）可以根据屏幕上面的错误讯息与再配合登录文件的错误信息，几乎就可以解决大部分的 Linux 问题。 日志文件的重要性： * 日志文件是系统管理员监控系统的记录，系统的一举一动基本都会记录下来。 * 日志文件可以帮助管理员快速定位问题，解决问题。 * 日志文件是系统管理员监控系统的记录，是解决问题的重要依据。 常见的登录文件： * /var/log/secure：记录登入系统存取数据的文件，例如 pop3, ssh, telnet, ftp 等都会被记录。 * /var/log/wtmp ：记录登入者的讯息数据，由于本文件已经被编码过，所以必须使用 last 指令来取出文件的内容。 * /var/log/messages：尤为重要，几乎发生的错误讯息（或是重要信息）都会被记录在此。 * /var/log/boot.log ：记录开机或者是一些服务启动的时候，所显示的启动或关闭讯息。 * /var/log/maillog 或 /var/log/mail/* ：纪录邮件存取或往来（sendmail 与 pop3）的使用者记录。 * /var/log/cron ：记录 crontab 这个例行性服务的内容的。 * /var/log/httpd, /var/log/news, /var/log/mysqld.log, /var/log/samba, /var/log/procmail.log：分别是几个不同的网络服务的记录文件。 syslogd 的daemon 配置文件： * /etc/syslog.conf 内容语法是这样的：服务名称 [.=!] 讯息等级讯息记录的文件名或装置或主机。 * 例如底下：mail.info /var/log/maillog_info。 syslog 认识的服务： * auth, authpriv ：主要与认证有关的机制，例如 telnet, login, ssh 等需要认证的服务都是使用此一机制。 * cron：例行性命令cron/at 等产生讯息记录的地方。 * daemon：与各个daemon 有关的讯息。 * kern：核心（kernel）产生讯息的地方。 * lpr ：打印相关的讯息！ * mail：只要与邮件收发有关的讯息纪录都属于这个。 * news：与新闻群组服务器有关的东西。 * syslog：syslogd 这支程序本身产生的信息啊！ * user, uucp, local0 ~ local7 ：与 Unix like 机器本身有关的一些讯息。 讯息等级系统： * info ：仅是一些基本的讯息说明而已。 * notice：比info 还需要被注意到的一些信息内容。 * warning 或 warn：警示讯息，可能有问题，但是还不至于影响到某个daemon 运作。 * err 或 error ：一些重大的错误讯息，这就要去找原因了。 * crit：比error 还要严重的错误信息，crit 是临界点（critical） 的缩写，已经很严重了！ * alert：警告警告，已经很有问题的等级，比crit 还要严重！ * emerg 或 panic：疼痛等级，意指系统已经几乎要当机的状态！很严重的错误信息了。 * debug（错误侦测等级）与 none（不需登录等级）：两个特殊的等级，当要作一些错误侦测，或者是忽略掉某些服务的信息时，就用这俩！ 日志文件记录的文件名或装置或主机： * 文件的绝对路径：通常就是放在/var/log 里头的文件！ * 打印机或其它：例如/dev/lp0 这个打印机装置（即使被黑客可以删除掉日志文件，但是最终删除不了打印出来的日志信息）。 * 使用者名称：显示给使用者！ * 远程主机：例如@test.adsldns.org，要对方主机也能支持才行！ * *：代表目前在线的所有人，类似wall 这个指令的意义！