日常安全检查操作步骤及举例aixv2

1、日常安全检查项目操作步骤1事业东部华医疗卫生2012 年 9 月 1 文档更新目录文档用途本册文档依据东华医疗卫生事业部日常安全检查的要求，提供了比较详实的操作步骤、检查方法、结果鉴别及处理方法，旨在普及及强化项目安全检查工作。文分用语说明AIX: 是 IBM 开发的一套 UNIX 操作系统。适用本文档全体项目实施 2 时间修改人修改内容备注2010创建文挡2012-9董富强补充1.根据 2012-4-23 项目部要求补充内容并提供实例2.对部分检查项目补充多种检查方法2012-9整理目录文档更新目录2文档用途2文分用语说明2适用本文档2一、AIX 常用命令4二、日常安全检查内容51.系统错误

2、日志52.系统任务执行情况73.cconsole.log94.数据备份情况105.Shadow 运行情况126.文件服务器运行情况137.Web 服务器运行情况148.ECP 服务器运行情况159.FTP 服务器运行情1610.检查Journal 的Purge 情况1711.检查WIJ 文件的大小2112.查看进程是否运行正常2113.数据库服务器及FTP 服务器磁盘空间查看2414.一致性检查结果 (d EGRIT)2515.Shadow 同步2716.Global 的Journal 的选项(cache5.2 以前版本要查看)3317.临时Global 的 Map 检查35 3 18.执行系

3、统及数据库的监测并保存结果3519.运行环境备份3820.查看网络环境3921.检查其他安全隐患42 4 一、AIX 常用命令man 命令manerrpt会显示出errpt 命令的所有帮助文档。oslevel -s：查看 AIX OS 版本df -k：以 KB 为查看磁盘空间df -g：以 GB 为查看磁盘空间(AIX 5.2 后)errpt：查看系统错误日志errpt aj errcode：查看系统错误日志具体信息topas：查看系统性能lsps：查看调页空间ps -ef：查看进程ps ef | grep cache：查看 cache 相关的进程nmon fT s 30 c 120表示做 1

4、20*30 秒即 1 小时监测，30 秒一采样，并把结果在当前目录输出为文件(-f 表示把结果输出为文件，T 表示在输出文件到当前目录，F 可以用户自定义文件名,-s 表示按秒采样,-c 数目，表示 120*30 秒即 1 小时)crontab l查看 OS 系统任务cd：进入路径pwd：显示当前所在路径od：修改权限ls：列出当前目录内容（ls -la）rm：删除文件或目录 （rm R dirname）到主机 （例如：net 32） 5 ftp：ftp 到主机 （例如：ftp 32）bin：转换为 binary 格式asc：转换为 ascii 格式lcd：进入本地目录get：从目标取资源到本

5、地put：从本地往目标上放资源二、日常安全检查内容1.系统错误日志检查目的：检查数据库服务器和Shadow 服务器的系统是否有错误检查方法：用回车。net 或在cache 的terminal 下（不进入数据库），输入errpt，检查内容： 6 T：错误的类型C：错误源类型处理方式PH-硬件或介质故障上报医院信息科PS-故障查询明细，AIX 系统错误上报医院信息科； cache 错误上报医卫部PO-人为错误上报医院信息客其他类型为非严重事件，视情况处理1系统错误日志errpt 检查数据库服务器和Shadow 服务器的系统是否有错误每天一次图 1-1T：错误的类型：PEND-设备或功能组件可能丢失

6、，P；PERF-性能严重下降，P；PERM-硬件设备或模块损坏，确诊了的，P；TEMP-临时性错误，经过重试后已经恢复正常，T；INFO-一般消息，不是错误，IUNKN-不能确定错误的严重性，UC：错误源类型H-硬件或介质故障S-故障-人为错误 7 U-不能确定错误过多时，可以在使用 errpt | more 后翻页显示图 1-2如想查看单个错误的详细信息，则输入 errpt ajerrcode：图 1-32. 系统任务执行情况 8 检查目的：查看床位、医嘱、账单、调价、统计、Speedminer 等的计划任务的执行情况是否有错误或者被挂起检查方法及内容：打开数据库system managem

7、ent portal -Task Manager-view Task History（图2-1），检查sus 和 result 两列Result如果不是sucs，显示的task运行的详细情况，说明该TASK 有问题。图 2-1 Task history2、如果Task History 有错误。在Home Task Manager View Task Schedule下检查该Task Schedule（图 2-2），将有问题的TASK 截图上报医卫部。 多数情况下， TASK Result 下可以看到对应程序的错误节点或者其他错误点。 9 2系统任务执行情况查看床位、医嘱、账单、调价、统计、sp

8、eedminer（数据仓库的任务 d SpeedTask SpeedAutoIns）等的计划任务的执行情况是否有错误或者被挂起每天一次图 2-2点击Details图 2-23. cconsole.log 10 3cconsole.log检查数据库服务器和 Shadow 服务器的 cconsole.log 是否有错误每天一次检查目的：检查数据库服务器和 Shadow 服务器的cconsole.log 中是否有错误。检查方法：方法一：从数据库中查看路径：Home System Logs View Console Log图 3-1方法二：从服务器使用FTP 工具从/cachesys/mgr 目录下登

9、录到服务器上使用VI 查看。到本地查看，或者检查内容：错误一般会带有Error。常见错误为shadow 库不能同步。ECP 数据库连接失败，删除journal 失败。处理方式：项目组不能确定的错误，该log 上报医卫部。4.数据备份情况检查目的：查看数据库服务器上生成的备份文件是否正常 11 4数据备份情况查看数据库服务器上生成的备份文件是否正常（要查看 backup 时产生的 log 文件中是否有错误信息）每天一次检查方法：方法一：从数据库中查看路径： system management portal-Backup-ViewbackupHistory-Sus检查内容：Sus 非 Comple

10、ted 状态的。图 4-1点击要查看日志的【view】按钮图 4-2 12 处理方法：以上日志中如果有错误， 上报医卫部上述方法为查看最后一次备份，如果查看备份历史：图 4-3 13 方法二：从服务器使用FTP 工具从/cachesys/mgr/Backup/目录下查看log 文件。检查日志方法同上。5.Shadow 运行情况检查目的：1. 查看Shadow 是否运行正常2 Shadow 是否同Database 数据库服务器数据同步1.查看Shadow 是否运行正常检查方法：Home-Shadow Servers-Shadows图 5-1处理方式：错误，上报医卫部2.查看数据是否同步检查方法：

11、分别在正式库与 shadow执行查询语句select count（*）from pa_adm where paadm_data=“当前日期”Select count (*) from oe_order where oeori_data=“当前日期”检查内容：看正式库和 shadow 库数据数量是否一致，正常情况下应该是一致的。 14 5Shadow 运行情况查看 Shadow 是否运行正常，是否同 Database 数据库服务器数据同步（查看 PA_Adm、OE_Order 等表）每天一次6.文件服务器运行情况检查目的：查看系统是否有系统故障或错误检查方法：win- 计算机管理 事件查看器检查

12、内容：检查系统日志“类型”中是否有错误。图 6-17.Web 服务器运行情况 15 7Web 服务器运行情况查看系统日志及IIS 日志是否有系统故障或错误每天一次6文件服务器运行情况查看系统日志是否有系统故障或错误每天一次检查目的：1.查看Web 服务器运行是否正常2.查看IIS 运行是否正常1.查看系统日志检查方法：Win- 计算机管理 事件查看器检查内容：检查系统日志是否有错误。2.查看IIS 日志检查方法：Win-属性-日志属性-日志文件夹 16 图 7-18. ECP 服务器运行情况 17 8ECP 服务器运行情况查看系统日志是否有系统故障或错误每天一次检查目的：查看ECP 服务器运行

13、是否正常1.查看系统日志检查方法：Win- 计算机管理 事件查看器2.查看IIS 日志检查方法：Win-属性-日志属性-日志文件夹3 查看ECP 数据库的cconsole.log 和journal检查方法：登录ECP 数据库的lSystem Management Portal检查内容：查看cconsole.log 中是否有错误，journal 是否正常删除。9.FTP 服务器运行情检查目的：查看FTP 服务器的运行情况1 查看系统日志检查方法：Win- 计算机管理 事件查看器检查内容：检查系统日志是否有错误。2.查看FTP 服务日志检查方法：Win-默认-默认FTP 站点属性IIS 自带FTP

14、 日志位置： 18 9FTP 服务器运行情况查看系统日志是否有系统故障或错误每天一次图 9-1检查内容：检查日志内是否有标注错误。10.检查 Journal 的 Purge 情况 19 检查目的：查看Journal 是否按设置的天数清除检查方法：方法一：在数据库中查看先查看journal 设置的purge 时间：路径：Home-Configuration-Journal Settings检查内容：Whentopurgejournal files：3图 10-1再查看最早的查看最早的journal 是否在 3 天之内路径：Home-Journals检查内容：Creation Time 中的日期是

15、否在 3 天之内 20 10检查Journal 的 Purge 情况查看Journal 是否按设置的天数清除（3 天），如果超过 3 天没有 Purge，则说明数据库系统有问题；每天一次图 10-2方法二：登入小机，查看路径：cd /journal/journal/ls-l检查内容：在显示的列表查看 journal 文件是否在这个时间范围之内。 21 图 10-3方法三：从ccontrol.log 日志中 的时间来判断Journal 的Purge 情况检查方法：找到ccontrol.log检查内容：查看journal 生成的时间是否在 3 天之内。04/25-00:00:01:886 (446

16、862) 0 CACHE JOURNALING SYSTEM MESSAGEJournaling switched to:04/25-00:01:01:560 (913784) 0 DELETE: /journal/journal/20120421.001 22 04/25-00:01:01:563 (913784) 0 DELETE: /journal/journal/20120421.00204/25-00:01:01:564 (913784) 0 DELETE: /journal/journal/20120421.00304/25-00:01:01:566 (913784) 0 DELE

17、TE: /journal/journal/20120421.00404/25-02:11:32:653 (274444) 0 CACHE JOURNALING SYSTEM MESSAGEAutomatic journal file roll to:.(repeated 1 times)11.检查 WIJ 文件的大小检查目的：通过查看CACHE.WIJ 文件的大，来检查数据库是否运行正常检查方法：用 FTP到/wij/下）小机/wij/wij/CACHE.WIJ，（默认在mgr 下，也有可能设置检查内容：看cache.Wij 大小，如果 WIJ 文件过大（超过 2G）则说明数据库系统有问题图

18、11-112.查看进程是否运行正常 23 11检查WIJ 文件的大小检查CACHE.WIJ 文件的大小（默认在 mgr 下，也有可能设置到/wij/下），如果WIJ 文件过大（超过 2G）则说明数据库系统有问题；每天一次检查目的：查看写进程是否运行正常检查方法：（命令）ccontrol scache检查内容：2 到 3 分钟后再做一次，查看WDPASS 后的数字是否有变化roothisdb2:/#ccontrol scacheCache Running ver:Cache for UNIX (IBMESTER4/64-bit) 5.2.4 (Build 809U + Adhoc 9006) F

19、ri Feb 19 2010 11:45:27From directory: /v/releng/b/obj/cache5.2.4/build809_0_9006/ppc64uniCSCompiled with:Cache for UNIX (IBMESTER4/64-bit) 5.2.4 (Build 809U + Adhoc 9006) Fri Feb 19 2010 11:45:27From Directory: /v/releng/b/obj/cache5.2.4/build809_0_9006/ppc64uniThe time is: Tue Apr 24 20:24:07 2012

20、CntSystemName (clisysname): , Cnt LongId: TAB for 992 jobs: (Job:reswake:s:D if deadJob:resw:SF:D1: 278730:0:02: 938378:1:03: 885246:1:04: 274444:1:05: 712816:1:06: 1331660:1:07: 1224932:0:08: 1044954:0:0。719: 2216234:1:0 722: 2355456:1:0725: 950504:1:0735: 1794508:1:0763: 409864:1:0 768: 713194:1:0

21、Hibernation Semaphores:Job:t:20:938378:1:0 30:885246:1:040:274444:1:0 50:712816:1:0 24 12查看写进程是否运行正常：2 到 3 分钟后再做一次，查看 WDPASS 后的数字是否有变化每天一次60:1331660:1:0 140:1196274:1:0 150:799184:1:0 230:835638:1:0240:774596:1:0 280:614430:1:0 370:856336:1:0 400:766062:1:0430:893432:1:0 450:1249570:1:0 520:729454:1

22、:0 530:1642678:1:0540:200706:1:0 550:414064:1:0 560:1384792:1:0 570:729326:1:0580:1478958:1:0 590:524674:1:0 600:1454534:1:0 620:483764:1:0630:1433884:1:0 640:1355850:1:0 650:258532:1:0 660:1536180:1:0670:1036794:1:0 680:389276:1:0 690:958756:1:0 700:409796:1:0SWITCH: 0 (0 x0), WDWAKE: 0, NUMCPU: 32

23、GBLKINUSE NOQUEUE: 3557IJULOCK: 0,T: 0, IJPANIC: 0, WDSTOP: 0 WDPASS: 156513GCCOUNT_MASTER: 960188T 1 GCCOUNT 1353 GCTOPPNT: 958834WDTHRS: 3, BSLAV: 0, ASLAV: 1, MSLAV: 7, NDEV: 8, ADEV: 2, MDEV: 16MWRITV: 16, # of buffers in wdqemoryq: 1448Buffer Size: 8192 Number Buffers 1310720 BATCHQ: 1291720, N

24、OW983040ERACTIVE: 975321, MAXERACTIVE:GMINREQUEUE: 245760, GMINREQUEUELOW: 81920,T: 865621395,TLOW: 508567240GWDQSize: 2080, GWDQMax: 367001, GWDCurCycle: 0GAvailBuf: 1300921, GMinBuf: 393216, GMinBufBatch: 524288, GCntOffLRU: 0WDSUSPD: 0, BACKUPREQ: 0NUMRBUF: 16389, RTNMAXRBUF: 16384, CDMAXRBUF: 5,

25、 CDCURRBUF: 1981, RTNSVR=0V: 70, MXGETRQ: 3GBLJOBS: Job #:reswake:Upd2:938378:13:885246:15:712816:16:1331660:17:1224932:08:1044954:09:1376268:010:1237258:011:217160:012:1212812:0 25 GACCUPDQ:GBFANYQ:GBFSPECQ:roothisdb2:/#13.数据库服务器及 FTP 服务器磁盘空间查看检查目的：查看数据库服务器及FTP 服务器磁盘空间的情况检查方法：df -k：以KB 为查看磁盘空间df -g

26、：以 GB 为查看磁盘空间(AIX 5.2 后)检查内容：查看硬盘空间，并根据数据增长经验，估算剩余空间是否够用(尤其要注意 journal 和备份的空间)；查看FTP 服务器的磁盘空间是否够用； 26 13数据库服务器及FTP服务器磁盘空间查看对Unix 用df -k 查看硬盘空间，并根据数据增长经验，估算剩余空间是否够用(尤其要注意journal 和备份的空间)；查看FTP 服务器的磁盘空间是否够用；每周一次图 13-1图 13-2 27 14.一致性检查结果 (d T)检查目的：检查数据库是否存在一致性被损坏的数据节点。如果存在这样的数据节点而不及时修复，可能导致系统突然宕机以及数据丢失

27、等情况发生。检查方法：首先检查数据库中有无此任务，且此任务是否正常运行路径：Home Configuration Task Manager SettingsTask Schedule图 14-1 28 14查看一致性检查结果 (d EGRIT)查看 EGRIT.log 中的内容是否有“not ok”的 Global，如果有则需要对有问题的Global 再做一次一致性检查，如果两次查出的错误一样，确认是有问题，要尽快向医卫部汇报，尽早处理；每周一次图 14-2找到EGRIT.LOG ，查看是否有“not ok”的Global路径：从小机 /cachesys/mgr 目录下 找到EGRIT.LOG

28、。检查内容：查看是否有“not ok”的Global如果有“not ok”的Global，需再手工检查一遍路径：%SYS d EGRIT，然后按提示选择检查内容：单独检查有问题的glabol，确认错误，例如，出现错误的global 是%SYSd EGRITThis utility is used to check theegrity of a databaseand the poer structure of one or more globals.Output results onDevice: d:EGRITY120120.txtParameters: WNS=Stop after any

29、 error?No=Do you want to check all databases?No=Directory: : c:cachesysmgr = d:TrakCarecachedataMEDDATAAll globals?No= 29 Global: 15.Shadow 同步目的：保证shadow 数据与数据库服务器的数据同步首先检查 Shadow 服务器的设置将 database 服务器 System Management Portal 的Security 中设置Shadow 服务可用（5.2 以前版本在Configuration 中设置允许的Shadow 服务器的IP 地址及端口）

30、图 15-1查看 Shadow 服务器上设置的database 服务器的IP 地址及端口然后在 Shadow 服务器上做 Restore，保证数据库服务器的数据同步 30 15Shadow 同步在 Shadow 服务器上做 Restore，保证数据库服务器的数据同步；把数据库服务器上/trakcare/trak/web/csp(/dthealpp/dthis/web/csp)下的 csp 文件拷贝到 Shadow 上相应目录每月一次net 到 Shadow 服务器ftp 到database 服务器，bin 格式get 取Backup 文件到Shadow 服务器本地%SYSd BACKUP 做恢

31、复数据库到Shadow(注：d BACKUP 之前一定要停止掉 shadow库上的 shadow 服务，注意并非是停掉 shadow 的数据库)设置 MapDirectory、CopyJournal 路径、同步的开始点图 15-2开始同步（其中黄色标示是需要输入的内容仅作参考，注意要与实际情况相符）%SYSzn %SYS%SYSd BACKUP 31 1. Backup2. Restore ALL3. Restore Selected or Renamed Directories4. Management Information5. Exit This UtilityOption? 3Do y

32、ou want to set switch 10 sot othroses will beprevented from running during the restore? Yes =ySpecify input file for volume 1 of backup 1(Type STOP to exit)Device: d:db_backupTRAKDB_PM.FULL = D:TRAKDB_AM.FULLThis backup volume was created by:Cache for Windows NT (el) 5.0.15The volume label contains:

33、Volumber1Volume backupMAY 23 2008 12:40PM FullPrevious backupMAY 22 2008 10:30PM FullLast FULL backupMAY 22 2008 10:30PMDescriptionMEDDATA BACKUPBuffer Count0Is this the backup you want to start restoring?Yes =y 32 For each database includedhe backup file, you can:- press RETURN to restore it to its

34、 original directory;- type X, then press RETURN to skip it and not restore iall.- type a different directory name.It will be restored to the directoryyou specify.(If you specify a directoryt already contains adatabase, the data it contains will be lost).d:dthealppdbaudit =d:dthealppdbcodes =。d:dthea

35、lppdbwebsrc =*d:dthealppdbcodes = d:dthealppdbcodes。d:dthealppdbwebsrc = d:dthealppdbwebsrc*Do you want to change this list of directories? No =*Restoring d:dthealppdbaudit at 18:59:3545 blocks restored in 0.0 seconds for this pass, 45 total restored.。*Restoring d:dthealppdbwebsrc at 19:00:32 33 d:d

36、thealppdbaudit=d:dthealppdbaudit0 blocks restored in 0.0 seconds for this pass, 129451 total restored.Specify input file for volume 1 of backup following MAY 23 200812:40PM(Type STOP to exit)Device: d:db_backupTRAKDB_PM.FULL = exitDo you have any more backups to restore? Yes = NoMounting d:dthealppd

37、bauditd:dthealppdbaudit. (Mounted)。Mounting d:dthealppdbwebsrcd:dthealppdbwebsrc. (Mounted)Restoring a directory restores the globalshem only up to thedate of the backup.If you have been journaling, you can applyjournal entries to restore any changesve been madeheglobals since the backup was made.Wh

38、at journal entries do you wish to apply?1. All entries for the directoriest you restored2. All entries for all directories3. Selected directories and globals 34 4. No entriesApply: 1 = 41. Backup2. Restore ALL3. Restore Selected or Renamed Directories4. Management Information5. Exit This UtilityOpti

39、on? 5第三步，把数据库服务器上/trakcare/trak/web/csp(/dtheal Shadow 上相应目录pp/dthis/web/csp)下的csp 文件拷贝到16.Global 的 Journal 的选项(cache5.2 以前版本要查看)检查目的：查看做日志的必需的Global 是否都已勾选单用户模式如下：命令行下执行：#ccontrol start cache nostu#csescache -B/CacheSys/mgr/d STURECOVDo you want to continue ? No = Yes 35 16Global 的Journal 的选项(cache5.2 以前版本要查看)除了临时Global 外，所有的 Global 都应该选成Yes 做日志；更改Global 的Journal 选项要在单用户模式下修改(或者在所有应用都停止的情况下修改)；每月一次Enter error type (? for list) = JRNEn