Linux系統(tǒng)監(jiān)視及日志管理

系統(tǒng)監(jiān)視和日志管理/proc文件系統(tǒng)特點(diǎn)/proc虛擬文件系統(tǒng)是一種內(nèi)核和內(nèi)核模塊用來(lái)向進(jìn)程發(fā)送信息的機(jī)制，這個(gè)偽文件系統(tǒng)允許與內(nèi)核內(nèi)部數(shù)據(jù)結(jié)構(gòu)交互，獲取有關(guān)用戶進(jìn)程的有用信息，在運(yùn)行中改變?cè)O(shè)置（通過(guò)改變內(nèi)核參數(shù)），存在于內(nèi)存中，有3個(gè)重要目錄：net；依賴于內(nèi)核配置sys；可寫(xiě)，可通過(guò)其來(lái)訪問(wèn)和修改內(nèi)核參數(shù)scsi；依賴于內(nèi)核配置，如果系統(tǒng)不支持scsi，則不存在/proc文件系統(tǒng)功能

/proc文件系統(tǒng)提供的信息如下：進(jìn)程信息：系統(tǒng)中的任何一個(gè)進(jìn)程，均有一個(gè)同名的進(jìn)程ID。系統(tǒng)信息：整個(gè)系統(tǒng)信息，如：cpu占用、磁盤空間、內(nèi)存頁(yè)、全部中斷等CPU信息：利用/proc/cpuinfo文件可以獲得負(fù)載信息：/proc/loadavg文件系統(tǒng)內(nèi)存信息：/proc/meminfo文件查看信息命令uptime:當(dāng)查看系統(tǒng)負(fù)載，1、5、15分鐘free：查看內(nèi)存使用情況，可以結(jié)合watchwatch–n1–dfree實(shí)時(shí)監(jiān)控vmstat：

監(jiān)視虛擬內(nèi)存使用情況mpstat:專門監(jiān)視CPU的性能Iostat：監(jiān)視I/O性能netstat：監(jiān)控網(wǎng)絡(luò)netstat-i-c

還可以用一些工具：phpsysinfo、ntop、kSar等日志的功能用于記錄系統(tǒng)、程序運(yùn)行中發(fā)生的各種事件通過(guò)閱讀日志，有助于診斷和解決系統(tǒng)故障日志文件的分類內(nèi)核及系統(tǒng)日志由系統(tǒng)服務(wù)syslog統(tǒng)一進(jìn)行管理，日志格式基本相似用戶日志記錄系統(tǒng)用戶登錄及退出系統(tǒng)的相關(guān)信息程序日志由各種應(yīng)用程序獨(dú)立管理的日志文件，記錄格式不統(tǒng)一日志文件分析2-1日志文件分析2-2日志保存位置默認(rèn)位于：/var/log

目錄下主要日志文件介紹內(nèi)核及公共消息日志：/var/log/messages計(jì)劃任務(wù)日志：/var/log/cron系統(tǒng)引導(dǎo)日志：/var/log/dmesg郵件系統(tǒng)日志：/var/log/maillog用戶登錄日志：/var/log/lastlog、/var/log/secure、/var/log/wtmp、/var/run/btmp……由系統(tǒng)服務(wù)rsyslog統(tǒng)一管理軟件包：rsyslog-5.8.10-2.el6.x86_64主要程序：/sbin/rsyslogd配置文件：/etc/rsyslog.conf內(nèi)核及系統(tǒng)日志3-1[root@localhost~]#grep-v"^#"/etc/rsyslog.conf|grep-v^$*.info;mail.none;authpriv.none;cron.none /var/log/messagesauthpriv.* /var/log/securemail.* -/var/log/maillogcron.* /var/log/cron……設(shè)備類別.日志級(jí)別消息發(fā)送位置日志消息的級(jí)別0EMERG（緊急）：會(huì)導(dǎo)致主機(jī)系統(tǒng)不可用的情況1ALERT（警告）：必須馬上采取措施解決的問(wèn)題2CRIT（嚴(yán)重）：比較嚴(yán)重的情況3ERR（錯(cuò)誤）：運(yùn)行出現(xiàn)錯(cuò)誤4WARNING（提醒）：可能會(huì)影響系統(tǒng)功能的事件5NOTICE（注意）：不會(huì)影響系統(tǒng)但值得注意6INFO（信息）：一般信息7DEBUG（調(diào)試）：程序或系統(tǒng)調(diào)試信息等

內(nèi)核及系統(tǒng)日志3-2日志記錄的一般格式內(nèi)核及系統(tǒng)日志3-3[root@localhost~]#tail-5/var/log/messagesSep1411:22:44localhostkernel:sdb:cachedataunavailableSep1411:22:44localhostkernel:sdb:assumingdrivecache:writethroughSep1411:22:44localhostkernel:sdb:sdb1Sep1411:23:37localhostkernel:VFS:Can'tfindext3filesystemondevsdb1.Sep1416:54:48localhostNetworkManager:<information>starting...時(shí)間標(biāo)簽主機(jī)名子系統(tǒng)名消息字段保存了用戶登錄、退出系統(tǒng)等相關(guān)信息/var/log/lastlog：最近的用戶登錄事件/var/log/wtmp：用戶登錄、注銷及系統(tǒng)開(kāi)、關(guān)機(jī)事件/var/run/utmp：當(dāng)前登錄的每個(gè)用戶的詳細(xì)信息/var/log/secure：與用戶驗(yàn)證相關(guān)的安全性事件分析工具users、who、w、last、lastb用戶日志分析程序日志分析由相應(yīng)的應(yīng)用程序獨(dú)立進(jìn)行管理Web服務(wù)：/var/log/httpd/access_log、error_log代理服務(wù)：/var/log/squid/access.log、cache.log、squid.out、store.logFTP服務(wù)：/var/log/xferlog……

分析工具文本查看、grep過(guò)濾檢索、Webmin管理套件中查看awk、sed等文本過(guò)濾、格式化編輯工具Webalizer、Awstats等專用日志分析工具及時(shí)作好備份和歸檔延長(zhǎng)日志保存期限控制日志訪問(wèn)權(quán)限日志中可能會(huì)包含各類敏感信息，如賬戶、口令等集中管理日志便于日志信息的統(tǒng)一收集、整理和分析杜絕日志信息的意外丟失、惡意篡改或刪除日志管理策略2-1日志管理策略2-2應(yīng)用示例：調(diào)整syslogd服務(wù)設(shè)置，建立集中管理的日志服務(wù)器將客戶機(jī)B中crond服務(wù)產(chǎn)生的日志消息，自動(dòng)發(fā)送到服務(wù)器A的/var/log/cron文件中[root@localhost~]#vi/etc/sys