Linux系统监视及日志管理

系统监视和日志管理/proc文件系统特点/proc虚拟文件系统是一种内核和内核模块用来向进程发送信息的机制，这个伪文件系统允许与内核内部数据结构交互，获取有关用户进程的有用信息，在运行中改变设置（通过改变内核参数），存在于内存中，有3个重要目录：net；依赖于内核配置sys；可写，可通过其来访问和修改内核参数scsi；依赖于内核配置，如果系统不支持scsi，则不存在/proc文件系统功能

/proc文件系统提供的信息如下：进程信息：系统中的任何一个进程，均有一个同名的进程ID。系统信息：整个系统信息，如：cpu占用、磁盘空间、内存页、全部中断等CPU信息：利用/proc/cpuinfo文件可以获得负载信息：/proc/loadavg文件系统内存信息：/proc/meminfo文件查看信息命令uptime:当查看系统负载，1、5、15分钟free：查看内存使用情况，可以结合watchwatch–n1–dfree实时监控vmstat：

监视虚拟内存使用情况mpstat:专门监视CPU的性能Iostat：监视I/O性能netstat：监控网络netstat-i-c

还可以用一些工具：phpsysinfo、ntop、kSar等日志的功能用于记录系统、程序运行中发生的各种事件通过阅读日志，有助于诊断和解决系统故障日志文件的分类内核及系统日志由系统服务syslog统一进行管理，日志格式基本相似用户日志记录系统用户登录及退出系统的相关信息程序日志由各种应用程序独立管理的日志文件，记录格式不统一日志文件分析2-1日志文件分析2-2日志保存位置默认位于：/var/log

目录下主要日志文件介绍内核及公共消息日志：/var/log/messages计划任务日志：/var/log/cron系统引导日志：/var/log/dmesg邮件系统日志：/var/log/maillog用户登录日志：/var/log/lastlog、/var/log/secure、/var/log/wtmp、/var/run/btmp……由系统服务rsyslog统一管理软件包：rsyslog-5.8.10-2.el6.x86_64主要程序：/sbin/rsyslogd配置文件：/etc/rsyslog.conf内核及系统日志3-1[root@localhost~]#grep-v"^#"/etc/rsyslog.conf|grep-v^$*.info;mail.none;authpriv.none;cron.none /var/log/messagesauthpriv.* /var/log/securemail.* -/var/log/maillogcron.* /var/log/cron……设备类别.日志级别消息发送位置日志消息的级别0EMERG（紧急）：会导致主机系统不可用的情况1ALERT（警告）：必须马上采取措施解决的问题2CRIT（严重）：比较严重的情况3ERR（错误）：运行出现错误4WARNING（提醒）：可能会影响系统功能的事件5NOTICE（注意）：不会影响系统但值得注意6INFO（信息）：一般信息7DEBUG（调试）：程序或系统调试信息等

内核及系统日志3-2日志记录的一般格式内核及系统日志3-3[root@localhost~]#tail-5/var/log/messagesSep1411:22:44localhostkernel:sdb:cachedataunavailableSep1411:22:44localhostkernel:sdb:assumingdrivecache:writethroughSep1411:22:44localhostkernel:sdb:sdb1Sep1411:23:37localhostkernel:VFS:Can'tfindext3filesystemondevsdb1.Sep1416:54:48localhostNetworkManager:<information>starting...时间标签主机名子系统名消息字段保存了用户登录、退出系统等相关信息/var/log/lastlog：最近的用户登录事件/var/log/wtmp：用户登录、注销及系统开、关机事件/var/run/utmp：当前登录的每个用户的详细信息/var/log/secure：与用户验证相关的安全性事件分析工具users、who、w、last、lastb用户日志分析程序日志分析由相应的应用程序独立进行管理Web服务：/var/log/httpd/access_log、error_log代理服务：/var/log/squid/access.log、cache.log、squid.out、store.logFTP服务：/var/log/xferlog……

分析工具文本查看、grep过滤检索、Webmin管理套件中查看awk、sed等文本过滤、格式化编辑工具Webalizer、Awstats等专用日志分析工具及时作好备份和归档延长日志保存期限控制日志访问权限日志中可能会包含各类敏感信息，如账户、口令等集中管理日志便于日志信息的统一收集、整理和分析杜绝日志信息的意外丢失、恶意篡改或删除日志管理策略2-1日志管理策略2-2应用示例：调整syslogd服务设置，建立集中管理的日志服务器将客户机B中crond服务产生的日志消息，自动发送到服务器A的/var/log/cron文件中[root@localhost~]#vi/etc/sys