AIX日志参考文档

1、系统错误日志

存放路径/var/adm/ras/errlog

说明:该日志记录了系统所检测到的软硬件故障和错误,尤其对系统的硬件故障有很大的参考价值,是AIX提供的最有价值的日志之一, errlog 文件用more或者其他文本的查看命令来打开我们看到的只是一对乱码,为了能够查看错误日志文件需要使用aixerrpt命令,如:errpt 列信息;errpt –a列详细信息,详细使用方法可以参考man

2、用户的登录日志

存放路径/var/adm/wtmp    /var/adm/sulog

说明:这些日志记录了用户登录和访问服务器的情况信息,具体的日志文件有wtmp、、sulog等,它们记录的分别是不同的事件,wtmp记录的是历史的loginlognout信息,可以用last命令访问。sulog记录的是用户用su命令转变为另一用户的信息。wholast等这些命令可以查看wtmpsulog的内容
如:Last –f wtmp
我们想查看最近10次登录的用户和他们的地址,可以用如下命令:
  last -10

3、用户的失败登录日志

存放路径/etc/security/failedlogin

说明:这些日志记录了用户登录和访问服务器失败的情况信息,登录失败的情况单独记录在该日志中,可以用who命令来查看。

4、集群管理软件hacmp的日志

存放路径/tmp/hacmp.out

说明:HACMPIBM提供的确保系统运行可靠性的集群套件,HACMP在每次启动和关闭时都要经历一段时间以停止服务和转换文件系统,我们可以通过对HACMPOUT日志文件的跟踪实时的了解HACMP在启动和关闭时的信息,如出现启动失败则可以帮助我们定位错误。

   可以使用tail进行跟踪,tail –f /tmp/hacmp.out

5、系统启动错误日志

存放路径/var/adm/ras/bootlog

说明:该日志可以跟踪系统在Boot过程中发生的问题,包括服务器液晶板上的代码信息都有记载。可以使用alog命令监视这些问题存放在/var/adm/ras/bootlog中,可以使用alog –o –t boot命令查看该文件。

6FTP用户操作日志

存放路径:自定义(建议/tmp/ftplog.out

说明:很多服务器都会用到FTP功能,大量的用户通过FTP登陆到服务器上给系统的安全性带来了很大的问题,AIX给我们提供了一套很不错的可以记录用户FTP操作情况的日志。

具体设置步骤如下:

/etc/inetd.conf文件中编辑 FTP 一行,在FTPD后加“-d”

重启服务: refresh –s inetd

touch /tmp/ftplog.out

/etc/syslog.conf文件中加上两行:

daemon:debug      /tmp/ftplog.out

daemon:info        /tmp/ftplog.out

重启服务: refresh –s syslogd

 

7crontab执行情况日志

存放路径/var/adm/cron/log

说明:主要是查看各用户crontab执行情况的日志。

 

 

名称

存放路径

说明

备份频率

备注

系统错误日志

/var/adm/ras/errlog

日志记录了系统所检测到的软硬件故障和错误,尤其对系统的硬件故障有很大的参考价值

每日


用户登录日志

/var/adm/wtmp    

/var/adm/sulog

日志记录了用户登录和访问服务器的情况信息,具体的日志文件有wtmp、、sulog等,它们记录的分别是不同的事件,wtmp记录的是历史的loginlognout信息,可以用last命令访问。sulog记录的是用户用su命令转变为另一用户的信息。

每日


用户登录失败日志

/etc/security/failedlogin

记录用户失败的登录信息,是二进制文件,用who 命令来阅读其内容

每日


系统启动错误日志

/var/adm/ras/bootlog

该日志可以跟踪系统在Boot过程中发生的问题,包括服务器液晶板上的代码信息都有记载。

每周


FTP用户操作日志

自定义(建议/tmp/ftplog.out

可以记录用户FTP操作情况的日志。

每周


集群管理软件日志

/tmp/hacmp.out

HACMPIBM提供的确保系统运行可靠性的集群套件,HACMP在每次启动和关闭时都要经历一段时间以停止服务和转换文件系统,我们可以通过对HACMP.OUT日志文件的跟踪实时的了解HACMP在启动和关闭时的信息,如出现启动失败则可以帮助我们定位错误。

每周


Crontab执行情况日志

/var/adm/cron/log

主要是查看各用户crontab执行情况的日志。

每周


AIX errpt 命令使用

备查

 

修改当前的日志文件
/usr/lib/errdemon -i /var/adm/ras/myerrlog
修改当前日志文件大小
/usr/lib/errdemon -s 28866

修改当前日志缓冲区大小
/usr/lib/errdemon -B 20480
修改2个重复错误之间的间隔时间
/usr/lib/errdemon -t 50

ps -ef | grep errdemon

/usr/lib/errdemon

/usr/lib/errstop
ps -ef | grep errdemon

errpt | more

详细
errpt -a | pg

以ASCII 方式显示


errpt -g -j 74533D1A | more

检查过去24小时内发生的错误日志
date

errpt -a -s 0128092102

errclear 命令清除日志记录
删除所有日志
errclear 0

删除10天前的软件记录
errclear -d -S 10

errpt -a

-a是以详细格式显示错误日资文件中的错误信息

在系统中生成一个记录下来的错误报表

 

 

aix的日志系统总结
----------------------参考的 于宁斌《AIX 5L系统管理技术》
日志系统工作流程介绍
1.一旦系统的某个功能模块检测到一个错误或定义的需要记录日志的事件,则记录到/dev/error设备,把它保存在NVRAM中,这样可以保证即使在系统崩溃的情况下也不会丢失最新的错误日志。
2.同时,错误日志进程errdemon/dev/error文件中读取错误日志,然后根据错误模版库(/var/adm/ras/errtmpit)和错误消息库(/usr/lib/nls/msg/LANGcodepoint.cat)对其进行处理后写入系统的错误日志/var/adm/ras/errlog中。
错误日志进程由/usr/lib/errdemon命令启动,/usr/lib/errstop停止,默认是启动的。
errdemon进程:
/dev/error逻辑设备文件中读取纪录,然后在系统错误日志中创建错误日志纪录,显然这才是重点。
Errdemon的配置:
/usr/lib/errdemon 命令可以启动errdemon进程,同样我们也可以通过使用参数来修改我们的errdemon,显然如果我们不是太了解还是系统初始的配置更适合我们!
例如:
/usr/lib/errdemon –s 20000 设定我们的日志文件大小为20000bytes
最可能用到的可能就是-l参数了
/usr/lib/errdemon –l
# /usr/lib/errdemon -l
Error Log Attributes
--------------------------------------------
Log File /var/adm/ras/errlog
Log Size 1048576 bytes
Memory Buffer Size 16384 bytes
Duplicate Removal true
Duplicate Interval 100 milliseconds
Duplicate Error Maximum 1000
上面显示我的错误日志文件是/var/adm/ras/errlog,这也是系统默认的错误日志的存放位置。
具体其他的参数可以参看man 手册。

使用方法大概介绍:
查看错误日志:errpt命令
more或者其他文本的查看命令来打开errlog文件我们看到的只是一对乱码,为了能够查看错误日志文件需要使用aixerrpt命令。
使用errpt命令查看日志,可能根据使用的参数来确定输出什么样的日志,甚至排序的方式,这是使用纯文本的日志不能做到的,或者说不能轻易做到的。
下面我们来看errpt命令的使用。

# errpt
IDENTIFIER TIMESTAMP T C RESOURCE_NAME DESCRIPTION
9DBCFDEE 0109034400 T O errdemon ERROR LOGGING TURNED ON
192AC071 0109034300 T O errdemon ERROR LOGGING TURNED OFF
C092AFE4 0109033500 I O ctcasd ctcasd Daemon Started
A6DF45AA 0109033500 I O RMCdaemon The daemon is started.
9DBCFDEE 0109033400 T O errdemon ERROR LOGGING TURNED ON
192AC071 0106130900 T O errdemon ERROR LOGGING TURNED OFF
369D049B 0106082400 I O SYSPFS UNABLE TO ALLOCATE SPACE IN FILE SYSTE
这里的输出分为六列依次为:
1.错误标示符IDENTIFIER:并不唯一,由它来确定使用的错误模板,显然同一种错误的IDENTIFIER是相同的。
2.时间戳TIMESTAMP:错误发生的时间,MMDDhhmmYY,依次表示月日时分年。
3.类型TYPE:错误的类型,或者说严重的程度。
分为6个:
PEND 设备或功能组件可能丢失 简写P
PERF 性能严重下降 P
PERM 硬件设备或软件模块损坏,确诊了的 P
TEMP 临时性错误,经过重试后已经恢复正常 T
INFO 一般消息,不是错误 I
UNKN 不能确定错误的严重性 U
4.种类CLASS c:指出错误源
硬件或介质故障
软件故障
人为错误
不能确定
5 资源名RESOURCE_NAME
最初检测到错误的资源名软件或者硬件,并不代表这个资源有问题,而只是最先在它发现的。
6.描述

显示详细的日志信息
# errpt -a|more
Standard input
---------------------------------------------------------------------
Standard input
LABEL: ERRLOG_ON
IDENTIFIER: 9DBCFDEE
Date/Time: Sun Jan 9 03:44:04 BEIS
Sequence Number: 309
Machine Id: 004250B94C00
Node Id: ibm-5L
Class: O
Type: TEMP
Resource Name: errdemon
Description
ERROR LOGGING TURNED ON
Probable Causes
ERRDEMON STARTED AUTOMATICALLY
User Causes
/USR/LIB/ERRDEMON COMMAND
Recommended Actions
NONE


其它
指定日志文件 –I可以用来查看一个非errdemon指定位置的日志文件,例如某个日志文件备份。
-t 参数,只显示-t参数指定的错误类型TYPE
-s 显示指定时间之后的日志文件.
-d 指定种类CLASS.
详细的参数只能看man 手册了

# errpt -a -j 74533D1A
# errpt -s 0108100100
IDENTIFIER TIMESTAMP T C RESOURCE_NAME DESCRIPTION
9DBCFDEE 0109034400 T O errdemon ERROR LOGGING TURNED ON
192AC071 0109034300 T O errdemon ERROR LOGGING TURNED OFF
C092AFE4 0109033500 I O ctcasd ctcasd Daemon Started
A6DF45AA 0109033500 I O RMCdaemon The daemon is started.
9DBCFDEE 0109033400 T O errdemon ERROR LOGGING TURNED ON

日志的清理
errclear命令可以用来清理错误日志
并且默认情况下cron会每天清理错误日志
# crontab -l
0 11 * * * /usr/bin/errclear -d S,O 30
0 12 * * * /usr/bin/errclear -d H 90
0 15 * * * /usr/lib/ras/dumpcheck >/dev/null 2>&1
显然,找上面的例子,S,O 类的错误会保留30天,而H的错误会保留90
errclear 0 删除多有记录
errclear 7 删除7天以前的记录
smit errclear
syslogd
unix普遍用到的日志系统,配置文件/etc/syslog.conf
没有什么多说的,比较普遍,定义的话是修改syslog.conf,保存的日志为文本格式
syslog.conf配置文件格式
信息类别.错误等级 记录的位置

其中,各项的含义
信息类别
auth used by authorization systems (login)
cron used for the cron and at systems
daemon system/netword daemon
kern produced by kernel messages
lpr printing system
mail mail system
mark internally used for time stamps
news reserved for the news system
user default facility, used for any program
uucp reserved for the uucp system

错误等级
debug normally used for debugging
info informational messages
notice conditions that may require attention
Warning any warnings
err any errors
crit critical conditions like hardware problems
Alert any condition that demand immediate attention
emerg any emergency condition
none Do not send messages from the indicated f
acility to the selected file.

记录的位置
可以是本地的文件(包括设备文件如/dev/console)或远程syslog日志服务器。
假如我要记录cron的所有错误信息,则可以在/etc/syslog.conf加入下面一行
cron.err /var/cronerr.log
定义记录cronerr信息到/var/cronerr.log文件

 

  进行AIX 的日常维护,需要关注哪些日志文件?
   
  解答: 

  在进行AIX 的日常维护时,需关注的日志文件有: 

文件 
  

描述 

建议 

core  snapcore 
  

由应用产生的 dump 文件, 可用于诊断错误 

可删除 

nohup.out 
  

nohup 命令的输出结果 

可删除 

.xerrors 
  

X11的输出结果 

可截短 

mbox 
  

用户邮箱中的邮件 

可截短 

smit.log  smit.script 
  

用户使用smit 命令后的日志 

可适当保留最后1000行,或删除 

/var/adm/wtmp 
  

记录用户的登录信息,是二进制文件, 用who 命令来阅读其内容 

根据需要保留60天中有用的内容,其余删除 

/etc/security/failedlogin 
  

记录用户失败的登录信息,是二进制文件,用who 命令来阅读其内容 

可根据需要保留60天中有用的内容,其余删除 

/var/adm/sulog 

用户使用su 命令的日志 
  

可根据需要保留60天中有用的内容,其余删除 

/var/adm/cron/log 
  

cron 的日志 

可截短 

/var/tmp/snmpd.log 
  

snmp 监控进程日志 

可截短 

/var/tmp/dpid.log 
  /var/tmp/dpid2.log 
  /var/tmp/hostmidb.log 
  /var/tmp/muxatmd 

snmp 子系统日志 

可截短 

dead.letter 
  

未成功的邮件 

可删除 

trcfile trace 
  

实用程序的输出 

可删除 

/var/adm/messages 
  

用于记录syslog进程的日志 

可适当保留最后1000行,或删除 

/etc/shutdown.log 
  

系统关机过程日志,用shutdown -l 命令产生 

可适当保留最后1000行,或删除 


你可能感兴趣的:(AIX日志参考文档)