Linux日志分析和故障处理

一、日志文件简介

···1.日志文件用于记录系统、程序运作中发生的各种事件
 2.日志文件的分类
  1)日志管理服务:由系统服务rsyslog管理
   ·软件包 rsyslog-5.8…rpm
   ·主程序 /sbin/rsyslogd
   ·配置文件 /etc/rsyslog.conf(默认的日志设置)
   ·启动脚本 /etc/init.d/rsyslog
  2)内核及系统日志:主配置文件/etc/rsyslog.conf
  3) 用户日志:记录用户登录及退出系统的信息,包括用户名、登录的终端、登录时间、来源主机、进程操作等
  4) 程序日志:记录本程序允许过程中的各种事件信息
   ·所有有rpm安装的程序日志都放在/var/log
   ·系统本身和大部分服务器程序的日志默认放在/var/log
  5)常见的日志文件
   ·/var/log/message:记录内核消息及各种应用程序的公共日志,未使用独立日志文件的程序服务
   ·/var/log/cron:crond计划任务的日志
   ·/var/log/dmesg:记录系统在引导过程中的各种事件信息
   ·/var/log/maillog:电子邮件的日志
   ·/var/log/lastlog:记录每个用户最近的登录时间
   ·/var/log/secure:记录用户认证相关的安全事件
   ·var/log/wtmp:每个用户登录、注销、系统启动和停机的事件信息
   ·/var/log/btmp:失败、错误登录的事件
 2./etc/rsyslog.conf查看系统默认的日志设置
  1)根据日志的的重要程度分为不同的优先级
   ·0 emerg(紧急):会导致主机系统不可以
   ·1 alert(警告):必须马上解决的问题
   ·2 crit(严重):比较严重的错误
   ·3 err(错误):运行出现错误
   ·4 warning(提醒):可能影响系统功能,需要提醒用户的重要事件
   ·5 notice(注意):不会影响正常功能,但要注意
   ·6 info(信息):一般信息
   ·7 debug(调试):程序或系统调试信息
  2)日志记录格式(四个字段)
   ·时间标签:消息发出的时间和日期
   ·主机名:生成消息的计算的名称
   ·子系统名称:发出消息的程序的名称
   ·消息:消息的具体内容
 3.用户日志
  1)查询当前的用户情况
   ·users:简单列出当前登录的用户名称
   ·who:当前登录到系统的每个用户的信息
   ·w:显示当前系统中每个用户及其运行的进程信息
   ·last:查询用户成功登录到系统的记录
   ·lastb查询登录失败的用户记录

二、深入理解Linux文件系统

1.inode和block
  1)扇区(sector):硬盘上的最小存储单位,每个扇区存储512字节
  2)块(block):文件存取的最小单位,8个扇区组成一个块,即每个块4KB
 2.inode(索引节点、i节点):存储文件原信息的地方
  1)元信息
   ·文件字节数
   ·文件拥有者的userID
   ·文件的权限
   ·文件的时间戳
  2)stat:查看某个文件的inode信息
   ·inode 文件名
 3.主要的时间属性
  1)ctime:最后一次改变文件或目录属性的时间
  2)mtime:最后一次修改文件或目录内容的时间
  3)atime:最后一次访问文件或目录的时间
 4.inode号
  1)每个inode都有一个inode号,系统通过inode号来识别文件
   ·ls -i 查看文件的inode号
  2)inode号也会消耗磁盘空间,每个128字节或256字节,inode的总数在格式化时给定
  ·df -i 查看inode号的详情
 3)系统识别文件的步骤
  ·系统找到这个文件的inode号
  ·通过inode号获取inode信息
  ·根据inode信息,找到文件所在的块,读出数据

三、故障分析

1.MBR故障
 前提:有多块硬盘以备份MBR
  1)将MBR扇区备份到另一块硬盘(挂载到/backup)
   dd if=/dev/sda of=/root/backup/sda.mbr.bak bs=512 count=1
  2)模拟MBR扇区被破坏
   dd if=/dev/zero of=/dev/sda bs=512 count=1
  3)从备份恢复MBR(引导程序)
  ·安装光盘引导进入急救模式,选择Rescue installed system
Linux日志分析和故障处理_第1张图片
  ·选择语言
Linux日志分析和故障处理_第2张图片
  ·选择键盘
Linux日志分析和故障处理_第3张图片
  ·是否安装网卡(no)
Linux日志分析和故障处理_第4张图片
  ·选择continue
Linux日志分析和故障处理_第5张图片
  ·进入”bash-4.1#”提示符的bash shell环境
Linux日志分析和故障处理_第6张图片
  ·创建一个新目录,并挂载到有备份文件的分区,将备份文件恢复到光盘,重启
Linux日志分析和故障处理_第7张图片
 2.修复GRUB引导文件
  1)备份/boot/grub/grub.conf
  2) 同上进入shell环境
  3) 换到待修复的Linux系统根环境

chroot /mnt/sysimage

4)将备份的文件复制到/boot/grub/,名字改为grub.conf
 3.遗忘密码
  (1)进入单用户模式修改
   1)重启,出现grub时按上下箭头,将光标定位到centos,按e,进入编辑模式
Linux日志分析和故障处理_第8张图片
   2)定位到kernel,按e
Linux日志分析和故障处理_第9张图片
   3)在末尾添加single或1或l,回车
Linux日志分析和故障处理_第10张图片
   4)按b键就进入了单用户模式
Linux日志分析和故障处理_第11张图片
   5)设置密码
    ·passwd root
  (2)进入急救模式重设密码
   1)切换到待修复的Linux系统的根目录
   2)执行passwd root

你可能感兴趣的:(Linux日志介绍,Linux找回系统密码,Linux文件系统)