《RH135-15-分析和存储.ppt》由会员分享,可在线阅读,更多相关《RH135-15-分析和存储.ppt(15页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、单元 15分析和存储日志 目标了解系统日志目标位置查看日志汇总报告重定向日志报告确定日志目标位置许多程序使用标准协议向rsyslogd 发送消息。每条消息都通过设备(消息类型)和严重性(重要程度)加以描述。/etc/rsyslog.conf 文件使用日志消息的设备和严重性确定应将其发送的位置(例如,发送到日志文件)。/etc/rsyslog.conf 的#RULES#部分包含定义日志消息保存位置的相关指令。每行左侧表示与指令匹配的日志消息的设置和严重性。每行右侧表示要将日志消息保存到的文件。日志消息通常保存在/var/log 目录中的文件中。rsyslog.conf 文件示例:#vim/etc
2、/rsyslog.conf 默认日志文件1)与身份验证相关的所有消息保存到/var/log/secure2)与电子邮件相关的所有内容保存到/var/log/maillog3)与cron相关的消息保存到/var/log/cron4)以info 优先级或更高优先级 发送的其他所有消息都保存在/var/log/messages轮转日志“轮转”日志,以避免日志占满包含/var/log 的文件系统轮转日志文件时,使用扩展名对其进行重命名,扩展名中指示轮转日期:如果在2011年10月30日轮转文件,原/var/log/messages 文件可能成为/var/log/messages-20111030。轮转
3、原日志文件之后,会创建新日志文件,并通知对它执行写操作的服务。轮转若干次之后(通常在四周之后),丢弃原日志文件以节省磁盘空间。cron 作业每日运行一次 logrotate 程序,以查看是否有日志需要轮转。大多数日志文件每周轮转一次,但是logrotate 轮转文件的速度有时较快,有时较慢,或在文件达到特定大小时进行轮转。查看rsyslog1)哪两个字段用于匹配日志事件?设备和优先级2)在第一个字段中使用通配符有何影响?它会与每个设备匹配3)在第二个字段中使用通配符有何影响?它会与每个优先级匹配4)是否有可能将相同的日志事件记录在多个日志中?是的,它将保存在满足匹配条件的所有日志中定位和分析日
4、志汇总报告可以安装名为logwatch 的程序,它将自动分析标准日志文件,并向root 发送汇总电子邮件。检查系统状态的一种便捷方法是阅读此日志汇总报告。logwatch 作为每日cron 作业运行,以生成相关日志信息的报告。默认情况下,此报告通过电子邮件发送到本地root 账户任务:分析日志汇总报告根据最新的logwatch 报告,确定root 文件系统的可用空间量。1)打开root 电子邮件#mail2)定位和阅读最新的logwatch 报告。如果没有logwatch 报告,运行logwatch 命令,手动生成一个报告。3)记录/文件系统的可用空间量更改日志汇总电子邮件地址/etc/log
5、watch/conf/logwatch.conf 是一个空文件,包含本地 logwatch 设置。logwatch 的系统范围默认设置保存在/usr/share/logwatch/default.conf/logwatch.conf 中。通常,是编辑/etc 中的文件 mailto 元素获取要将logwatch 报告发送到的电子邮件地址;默认情况下,logwatch 使用rootlocalhost。如果你想要studentserverX 接收这些邮件,则向/etc/logwatch/conf/logwatch.conf 文件添加以下行:MailTo=studentserverX练习重定向日志汇
6、总电子邮件将logwatch的配置更改为向用户student 而不是用户 root 发送日志汇总报告。如何向 student 和root 发送 logwatch 报告?1)修改/etc/logwatch/conf/logwatch.conf 文件,使其包含 MailTo=student2)如要将其发送给 student 和 root,则将该行更改为:MailTo=student root3)运行logwatch 命令:#logwatch4)检查 student 和 root 的电子邮件以获取新的报告。测试:日志调制消息假设公司想要你服务器的调试日志进行分析。将所有调试级别消息(及更高优先级)重
7、定向到名为/var/log/debug.log 的文件。1.将rsyslog 配置为在/var/log 目录中创建 debug.log,创建的文件用于收集所有服务的调试消息。添加以下行到 文件/etc/rsyslog.conf:*.debug/var/log/debug.log2.激活对 rsyslog 所做的更改。#service rsyslog restart 3.使用logger 命令将消息发送到 rsyslogd,优先级为debug,并验证该消息是否记录到新的日志文件。#logger-p debug Testing debug#tail/var/log/debug.log注意:如果你进行了正确配置和调试,该消息不会在/var/log/messages 中显示,这是因为/var/log/messages 仅会获取优先级为info及更高(而非debug)消息。