EBB-19、系统日志和RAID

系统日志和RAID

(一)Linux系统日志

1、日志记录了系统每天发生的各种各样的事件，对于解决计算机

系统的故障和保证系统的安全来说非常重要。用户可以通过日志来了解系统运行的状态，检查各种错误发生的原因，或者寻找***者留下的痕迹。

2、Linux操作系统中的日志，包括日志类型、日志管理、日志监

测和分析等内容。

Linux系统包含了很多与日志有关的软件包，通过这些软件包可以对日志进行记录、管理、分析、监测等操作。其中，最基本的系统日志功能是由sysklogd软件包实现的，它记录了内核和Linux系统最关键的日志。

3、日志是保障Linux系统安全的重要手段，通过审计和监测系统日志可以及时发现系统故障，检测和追踪***，并为系统出错时能恢复正常工作提供重要的帮助。

RHEL 5发行版包含了两种系统日志功能：

一种是syslog，用于记录常规的日志；

另外一种是klog，用于记录内核活动信息。

4、日志进程syslogd的配置文件是/etc/syslog.conf，它规定了系统日志记录哪些内容、采取什么动作等等。

syslog.conf是典型的Unix配置格式，每行包含一项配置内容，

“#”是注释符，其后的字符将被忽略，空行和空格也被忽略。

5、日志类型

保留字段中的“类型”代表信息产生的源头，可以是：

auth 认证系统，即询问用户名和口令

cron 系统定时系统执行定时任务时发出的信息

daemon 某些系统的守护程序的syslog,如由in.ftpd产

生的log

kern 内核的syslog信息

lpr 打印机的syslog信息

mail 邮件系统的syslog信息

mark 定时发送消息的时标程序

news 新闻系统的syslog信息

user 本地用户应用程序的syslog信息

uucp uucp子系统的syslog信息

local0.. 7 种本地类型的syslog信息,这些信息可以又用户来定义

* 代表以上各种设备

6、级别

保留字段中的“级别”代表信息的重要性，可以是：

emerg 紧急，处于Panic状态。通常应广播到所有用户；

alert 告警，当前状态必须立即进行纠正。例如，系统数

据库崩溃；

crit 关键状态的警告。例如，硬件故障；

err 其它错误；

warning 警告；

notice 注意；非错误状态的报告，但应特别处理；

info 通报信息；

debug 调试程序时的信息

none 通常调试程序时用，指示带有none级别的类型产

生的信息无需送出。如*.debug;mail.none表示调

试时除邮件信息外

7、动作

“动作”域指示信息发送的目的地。可以是：

/filename 日志文件。由绝对路径指出的文件名，此文

件必须事先建立；

@host 远程主机； @符号后面可以是ip,也可以是域

名，默认在/etc/hosts文件下loghost这个

别名已经指定给了本机。

user1,user2 指定用户。如果指定用户已登录，那么他们

将收到信息；

* 所有用户。所有已登录的用户都将收到信息。

8、系统默认log

从初始的系统日志配置可以看到，默认情况下，Linux的日志文件都存放在/var/log目录，这些日志文件的文件主用户基本上都是root，而且大部分的日志其它用户是不能查看的。

9、Linux系统还使用一种特殊的日志保留用户的登录信息，这些日志信息存放在/var/log目录的wtmp和lastlog文件，以及/var/run目录的utmp文件中，它们是由多个进程写入的。有关当前登录用户的信息记录在文件utmp中。wtmp文件主要存放用户的登入和退出信息，此外还存放关机、重起等信息。最后一次登录的信息存放在lastlog文件中。

注意：wtmp文件类型是data文件，不能用vi编辑。

系统日志为保证主机安全提供了有力的手段，通过系统日志，系统管理员可以发现操作系统及应用进程运行时存在的各种问题，以及实现对用户进行审计等功能。

10、为了减轻系统管理员的负担，Linux系统提供了一种日志转储的功能。假设一个日志文件的名字是log，利用日志转储功能，可以在某一时刻，自动将其改名为log.1，而原来的log文件清空后继续使用。再到了某一时刻，log.1将命名为log.2，log命名为log.1，log再清空后继续。依次类推，最终结果是把日志分到按顺序排列的文件中。

在Linux系统中，日志转储功能是由logrotate命令实现的，它可以设置成按日、按周或按月进行转储，也能在文件太大时立即处理。

（二）RAID

1、Redundant Array of Independent Disks

RAID是将同一阵列中的多个磁盘视为单一的虚拟磁盘，数据是

以分段的方式顺序存放于磁盘阵列中。

2、Disk Striping

（1）将数据按照一定大小分成多个数据块，这些数据块可以被

分别存放在不同的物理盘上

（2）系统在从特定硬盘读取数据时可以通知下个目标盘准备数

据

（3）提高系统读写数据的性能

3、Disk Mirroring

（1）将相同的数据同时写入多个硬盘中

（2）当某个物理硬盘失效时，提供数据资料的保护能力

（3）降低系统写数据的性能

磁盘镜像即RAID-1

利用率50％，容错

镜像卷（需要两个或两个以上的硬盘）(简单卷的两个相同的复制件,磁盘利用率仅仅为５０％，容错功能)
如果要实现容错功能，我们还可以选择镜像卷，也叫ＲＡＩＤ－１卷，它好比简单卷的两个相同的复制件。数据在写入的时候，两个磁盘上存储的信息是完全一样的，起到备份数据的作用。当任意一个磁盘发生故障时候，你可以用另外一个镜像恢复数据。不过它的磁盘利用率仅仅为５０％，所以它的成本相对较高。
要建立镜像卷，我们可以根据创建新卷向导，在“创建的卷的类型”一页，选择两个或两个以上动态物理磁盘，分别定义空间大小（最好使用大小、型号和制造厂家都相同的磁盘），点击“下一步”；然后再选择一种文件系统格式，进行格式化。操作成功后，就可以用镜像卷存储数据了。

4、Hot Swap

（1）处于运行状态的磁盘阵列子系统当出现单个物理盘失

效的情况时，采用新硬盘将失效物理盘在线替换，同

时保证系统稳定运行

（2）只有RAID级别为1、5、10的阵列才提供该功能。

热插拔技术

热插拔控制器:: 电源和散热管理

5、Parity

– 来自多个物理磁盘上的数据通过异或(XOR)操作运算产生的冗余奇偶数据

– 当单个硬盘失效时，这些冗余数据能够通过与其它物理磁盘上的数据进行异或(XOR)操作而恢复由于硬盘失效而丢失的数据

– 产生的冗余数据可以被存放于一个专作奇偶校验用的硬盘上，也可以将这些奇偶校验数据分散分布在磁盘阵列的全部硬盘中

– 产生和存储奇偶校验数据需要一些额外的操作，目前产生奇偶校验数据有两种方式：硬件生成和软件计算。

6、RAID技术的实现

1）RAID Levels— RAID 0

RAID0

– Striping

– 数据以分段的方式放在磁盘阵列中，没有校验数据。

– 没有容错能力，同一通道4个1GB的硬盘做RAID0的效率是1个4GB硬盘的3-3.5倍；

RAID 0系统的工作原理

2）RAID Levels— RAID 1

RAID1

– Mirroring

– 使磁盘读取的效率增加，但写入的效率降低

– 通过数据直接备份具有容错能力

RAID 1工作原理图示

3）RAID Levels— RAID 5

RAID5

– Striping with Distributed Parity

– 有校验数据，提供数据容错能力。只能容许损坏一块硬盘，数据才不会丢失。

– 校验值分散在各个盘的不同位置，相当程度的分散了负载，故有较好的性能，尤其是对小型数据。RAID5适用于银行和股市的联机交易系统（OLTP）。

RAID-5 正常时

RAID-5受损时

RAID 5 XOR 复原

RAID5E模式下可以容许同时损坏两块硬盘。

4）RAID Levels— RAID 10

5、为什么用RAID卡

用户对磁盘系统的四大要求

– 增加磁盘I/O存取速度

– 数据安全性要求，及容错（Fault tolerance）的能力

– 有效的利用磁盘空间

– 分担主机CPU的I/O事务

– 降低内存及磁盘的性能差异

– 提高计算机的整体工作性能

6、软RAID与硬RAID

? RAID也有全软、半软半硬与全硬之分。全软RAID就是指RAID的所有功能都是操作系统(OS)与CPU来完成，没有第三方的控制/处理 (业界称其为RAID协处理器)与I/O芯片。这样，有关RAID的所有任务的处理都由CPU来完成，可想而知这是效率最低的一种RAID。由于全软 RAID是在操作系统下实现RAID，不能保护系统盘，亦即系统分区不能参与实现RAID。有些操作系统，RAID的配置信息存在系统信息中，而不是存在磁盘上，当系统崩溃，需重新安装时，RAID的信息也会丢失。尤其是全软RAID 5是CPU的增强方式，会导致30%-40%的I/O功能降低，所以在服务器中不建议使用全软RAID。

总结：

1、 RAID就是廉价冗余磁盘阵列。

– 一种在配件、存储子系统和系统级别上通过硬件和软件冗余来保护重要数据和改善系统性能的方法;

– 利用磁盘分段、高速缓存等技术提高磁盘存取速度，同时通过磁盘镜像、数据冗余提供数据保护和备份。

2、RAID技术如何实现数据保护