Linux系統(tǒng)監(jiān)視及日志管理

系統(tǒng)監(jiān)視和日志管理/proc文件系統(tǒng)特點(diǎn)/proc虛擬文件系統(tǒng)是一種內(nèi)核和內(nèi)核模塊用來向進(jìn)程發(fā)送信息的機(jī)制，這個偽文件系統(tǒng)允許與內(nèi)核內(nèi)部數(shù)據(jù)結(jié)構(gòu)交互，獲取有關(guān)用戶進(jìn)程的有用信息，在運(yùn)行中改變設(shè)置（通過改變內(nèi)核參數(shù)），存在于內(nèi)存中，有3個重要目錄：net；依賴于內(nèi)核配置sys；可寫，可通過其來訪問和修改內(nèi)核參數(shù)scsi；依賴于內(nèi)核配置，如果系統(tǒng)不支持scsi，則不存在/proc文件系統(tǒng)功能

/proc文件系統(tǒng)提供的信息如下：進(jìn)程信息：系統(tǒng)中的任何一個進(jìn)程，均有一個同名的進(jìn)程ID。系統(tǒng)信息：整個系統(tǒng)信息，如：cpu占用、磁盤空間、內(nèi)存頁、全部中斷等CPU信息：利用/proc/cpuinfo文件可以獲得負(fù)載信息：/proc/loadavg文件系統(tǒng)內(nèi)存信息：/proc/meminfo文件查看信息命令uptime:當(dāng)查看系統(tǒng)負(fù)載，1、5、15分鐘free：查看內(nèi)存使用情況，可以結(jié)合watchwatch–n1–dfree實(shí)時監(jiān)控vmstat：

監(jiān)視虛擬內(nèi)存使用情況mpstat:專門監(jiān)視CPU的性能Iostat：監(jiān)視I/O性能netstat：監(jiān)控網(wǎng)絡(luò)netstat-i-c

還可以用一些工具：phpsysinfo、ntop、kSar等日志的功能用于記錄系統(tǒng)、程序運(yùn)行中發(fā)生的各種事件通過閱讀日志，有助于診斷和解決系統(tǒng)故障日志文件的分類內(nèi)核及系統(tǒng)日志由系統(tǒng)服務(wù)syslog統(tǒng)一進(jìn)行管理，日志格式基本相似用戶日志記錄系統(tǒng)用戶登錄及退出系統(tǒng)的相關(guān)信息程序日志由各種應(yīng)用程序獨(dú)立管理的日志文件，記錄格式不統(tǒng)一日志文件分析2-1日志文件分析2-2日志保存位置默認(rèn)位于：/var/log

目錄下主要日志文件介紹內(nèi)核及公共消息日志：/var/log/messages計劃任務(wù)日志：/var/log/cron系統(tǒng)引導(dǎo)日志：/var/log/dmesg郵件系統(tǒng)日志：/var/log/maillog用戶登錄日志：/var/log/lastlog、/var/log/secure、/var/log/wtmp、/var/run/btmp……由系統(tǒng)服務(wù)rsyslog統(tǒng)一管理軟件包：rsyslog-5.8.10-2.el6.x86_64主要程序：/sbin/rsyslogd配置文件：/etc/rsyslog.conf內(nèi)核及系統(tǒng)日志3-1[root@localhost~]#grep-v"^#"/etc/rsyslog.conf|grep-v^$*.info;mail.none;authpriv.none;cron.none /var/log/messagesauthpriv.* /var/log/securemail.* -/var/log/maillogcron.* /var/log/cron……設(shè)備類別.日志級別消息發(fā)送位置日志消息的級別0EMERG（緊急）：會導(dǎo)致主機(jī)系統(tǒng)不可用的情況1ALERT（警告）：必須馬上采取措施解決的問題2CRIT（嚴(yán)重）：比較嚴(yán)重的情況3ERR（錯誤）：運(yùn)行出現(xiàn)錯誤4WARNING（提醒）：可能會影響系統(tǒng)功能的事件5NOTICE（注意）：不會影響系統(tǒng)但值得注意6INFO（信息）：一般信息7DEBUG（調(diào)試）：程序或系統(tǒng)調(diào)試信息等

內(nèi)核及系統(tǒng)日志3-2日志記錄的一般格式內(nèi)核及系統(tǒng)日志3-3[root@localhost~]#tail-5/var/log/messagesSep1411:22:44localhostkernel:sdb:cachedataunavailableSep1411:22:44localhostkernel:sdb:assumingdrivecache:writethroughSep1411:22:44localhostkernel:sdb:sdb1Sep1411:23:37localhostkernel:VFS:Can'tfindext3filesystemondevsdb1.Sep1416:54:48localhostNetworkManager:<information>starting...時間標(biāo)簽主機(jī)名子系統(tǒng)名消息字段保存了用戶登錄、退出系統(tǒng)等相關(guān)信息/var/log/lastlog：最近的用戶登錄事件/var/log/wtmp：用戶登錄、注銷及系統(tǒng)開、關(guān)機(jī)事件/var/run/utmp：當(dāng)前登錄的每個用戶的詳細(xì)信息/var/log/secure：與用戶驗證相關(guān)的安全性事件分析工具users、who、w、last、lastb用戶日志分析程序日志分析由相應(yīng)的應(yīng)用程序獨(dú)立進(jìn)行管理Web服務(wù)：/var/log/httpd/access_log、error_log代理服務(wù)：/var/log/squid/access.log、cache.log、squid.out、store.logFTP服務(wù)：/var/log/xferlog……

分析工具文本查看、grep過濾檢索、Webmin管理套件中查看awk、sed等文本過濾、格式化編輯工具Webalizer、Awstats等專用日志分析工具及時作好備份和歸檔延長日志保存期限控制日志訪問權(quán)限日志中可能會包含各類敏感信息，如賬戶、口令等集中管理日志便于日志信息的統(tǒng)一收集、整理和分析杜絕日志信息的意外丟失、惡意篡改或刪除日志管理策略2-1日志管理策略2-2應(yīng)用示例：調(diào)整syslogd服務(wù)設(shè)置，建立集中管理的日志服務(wù)器將客戶機(jī)B中crond服務(wù)產(chǎn)生的日志消息，自動發(fā)送到服務(wù)器A的/var/log/cron文件中[root@localhost~]#vi/etc/sys