-
日志功能
- 系统和程序的’日记本‘
- 记录系统、程序运行中发生的各种事件
- 通过查看日志,了解及排除故障
- 信息安全控制的依据
- 内核及系统日志
- 由系统服务rsyslog同意记录/管理
- 日志消息采用文本格式
- 主要记录时间发生的时间、主机、进程、内容
- 时间、地点、人物、发生何事
- [root@svr7 ~]# tail -2 /var/log/messages
Aug 23 20:39:34 svr7 nm-dispatcher: req:1 ‘dhcp4-change’ [eth0]: start running ordered scripts…
Aug 23 20:40:01 svr7 systemd: Started Session 115 of user root.
- 常见的日志文件
- /var/log/messages 记录内核消息、各种服务的公共消息
- /var/log/dmesg 记录系统启动过程的各种消息
- /var/log/cron 记录与cron计划任务相关的消息
- /var/log/maillog 记录邮件收发相关的消息
- /var/log/secure 记录与访问限制相关的安全消息
- 用户日志
- 由登录程序负责记录/管理
- 日志消息采用二进制格式
- 记录登录用户的时间、来源、执行的命令等消息
- /var/log/lastlog 记录最近的用户登录时间
- /var/log/wtmp 记录成功的用户登录/注销事件
- /var/log/btmp 记录失败的用户登录时间
- /var/run/utmp 记录当前登录的每个用户的相关信息
-
日志分析 - 查看文本日志消息
- 通过分析工具
- tail、tailf、less、grep等文本浏览/检索命令
- tailf(实时跟踪文件)
- awk、sed等格式化过滤工具
- 专用分析工具
- Webmin系统管理套件
- Webalizer、AWStats等日志统计套件
-
用户登录分析
- users、who、w命令
- last、lastb命令
- 日志消息的优先级
- Linux内核定义的市价紧急程度
- 分为0~7共8种优先级
- 其数值越小,表示对应事件越紧急/重要
-
使用journalctl工具 - 提取由systemd-journal服务搜集的日志
- 主要包括内核/系统日志、服务日志
- 常见用法
- journalctl | grep 关键词
- journalctl -u 服务名 [-p 优先级]
- journalctl -n 消息条数
- journalctl --since='yyyy-mm-dd HH:MM:SS’ --until='yyyy-mm-dd HH:MM:SS‘
- journalctl -xe 最近报错日志
-
systemctl 控制 - linux系统和服务管理器
- 是内核引导之后加载的第一个初始化进程(PID=1)
- 负责掌控整个linux的运行/服务资源组合
- systemd
- 一个更搞笑的系统&服务管理器
- 开机服务并行启动,各系统服务间的精确依赖
- 配置目录: /etc/systemd/system/
- 服务目录:/lib/systemd/system/
- 主要管理工具:systemctl
- [root@svr7 ~]# ls -l /sbin/init
lrwxrwxrwx. 1 root root 22 8月 14 11:27 /sbin/init -> …/lib/systemd/systemd -
RHEL7 运行模式
- 字符模式:multi-user.target
- 图形模式:graphical.target
- [root@pc207 ~]# systemctl isolate multi-user.target / graphical.target
- 查看默认开机模式
- [root@svr7 ~]# systemctl get-default
graphical.target - 设置永久策略,每次开机进入模式
- [root@svr7 ~]# systemctl set-default graphical.target
|