系统故障分析与排查

系统故障分析与排查

9.1、日志分析及管理

9.1.1、主要日志文件

在Linux系统中，日志数据主要包括以下三种类型：

? 核及系统日志：这种日志数据由系统服务syslog统一管理，根据其主配置文件

/etc/syslog.conf中的设置决定将核消息及各种系统程序消息记录到什么位置。

? 用户日志：这种日志数据用于记录Linux系统用户登录及退出系统的相关信息，包括用

户名、登录的终端、登录时间、来源主机、正在使用的进程操作等 ? 程序日志：

Linux系统本身和大部分服务器程序的日志文件默认情况下都放置在目录/var/log/中 一些常见的日志文件：

? /var/log/messages:记录Linux核消息及各种应用程序的公共日志信息，包括启动、IO

错误、网络错误、程序故障等。对于未使用独立日志文件的应用程序或服务，一般都可以从该日志文件中获得相关的事件记录信息。

? /var/log/cron：记录crond计划任务产生的事件信息。

? /var/log/dmesg:记录Linux系统在引导过程中的各种事件信息 ? /var/log/maillog:记录进入或发出系统的电子活动

? /var/log/lastlog:最近几次成功登录事件和最后一次不成功登录事件。 ? /var/log/rpmpkgs:记录系统中安装的各rpm包列表信息 ? /var/log/secure:记录用户登录认证过程中的事件信息

? /var/log/wtmp:记录每个用户登录、注销及系统启动和停机事件 ? /var/run/utmp：记录当前登录的每个用户的详细信息 9.1.2、日志文件的分析

1、核及系统日志

核及系统日志功能主要有默认安装的sysklogd-1.4.1-44.e15软件包提供，该软件包安装了klogd、syslogd两个程序，并通过syslog服务进行控制。

根据日志消息的重要程度不同，将其分为不同的优先级别（数字等级越小，优先级越高，消息越重要）

? 0 EMERG（紧急）：会导致主机系统不可用的情况 ? 1 ALERT (警告)：必须马上采取措施解决问题 ? 2 CRIT(严重)：比较严重的情况 ? 3 ERR（错误）：运行出现错误

? 4 WARNING(提醒)：可能影响系统功能，需要提醒用户的重要事件 ? 5 NOTICE(注意)：不会影响系统的正常功能，但是需要注意的事件 ? 6 INFO（信息）：一般信息

? 7 DEBUG(调试)：程序或系统调试信息等

日志的每一行表示一条消息，每个消息均由四个字段的固定格式组成： ? 时间标签：消息发出的日期和时间

? 主机名：生成消息的计算机的名称

? 子系统名称：发出消息的应用程序的名称 ? 消息:消息的具体容 2、用户日志

在wtmp、utmp、lastlog等日志中，保存了系统用户登录、退出等相关事件的事件消息。但是这些文件都是二进制的，不能直接用tail、cat、less等文本查看工具浏览，需要使用who ,w ,users, last , ac等用户查询命令来获取日志信息。 1）、who命令

该命令用于查看utmp文件并报告当前登录的用户信息。Who默认输出包括用户名、终端

类型、登录日期及远程主机。

2）w命令

该命令用于查询utmp文件并显示当前系统中的每个用户及其所运行的进程信息

3）Users命令

该命令用单独的一行打印出当前登录系统的用户，每个显示的用户名对应一个登录会

话。如果一个用户不止一个登录会话，那他的用户名将显示与其相同的次数

4）、last命令

用于查询WTMP文件，显示出自该文件被创建以来登录过的所有用户记录，最近登录的

将显示在最前面

5）ac命令

用于查询查询wtmp文件中的用户登录和退出情况，报告用户连接的总时间（小时），

使用用户命令作为参数，再结合-d选项可以按每天进行统计，未指定用户名时，可以使用-p选项进行分别统计。

3、程序日志

9.1.3、日志管理策略

建立集中管理的日志服务器： 服务器A：（IP：192.168.1.1），用于集中保存日志记录

将客户机B的（IP地址设为192.168.1.100）cond服务产生的日志记录，统一保存到服务器

A中的/var/log/cron文件中 1、 设置日志服务器A

编辑/etc/sysconfig/syslog,将SYSLOGD_OPTIONS变量的容改为“-r -x –m 0”即可

重

启syslog服

务

2、 设置客户机B

在客户机b中需要修改/etc/syslog.conf配置文件，设置将cron计划任务的日志消息写入到服务器A的/var/log/cron中。指定写入日志的主机地址时，采用192.168.1.1的格式即可

3、 验证日志集中管理功能

在客户机B中执行crontab –e编写一条计划任务，保存并退出，回到主机A中查看日志文件

9.2、系统启动类故障排除

9.12.1、MBR扇区故障：MBR引导记录位于硬盘的第一个扇区（512字节） 1、备份MBR扇区数据

2、模拟MBR扇区故障

3、从备份文件中恢复MBR扇区数据

由于MBR扇区被破坏后，无法再从该硬盘启动系统，所以需要使用其他硬盘中的操作系统进行引导，或直接使用安装光盘进行引导。无论使用哪种方式，目的都是相同的：获得一个可以执行命令的Shell环境，以便从备份文件中恢复MBR扇区中的数据。

以使用光盘恢复为例，当出现安装向导boot:提示符时，在后面输入“linux rescue”并回车，将以急救模式引导光盘中的Linux系统，之后依次按回车键接收默认的语言、键盘格式。

提示是否配置网卡时一般选择“NO”，然后系统会自动查找硬盘中的Linux分区并尝试将其挂到/mnt/sysimage目录，选择continue确认并继续。