分析日誌文件與故障排查
一、日誌文件的概述;
1.概念:記錄系統和應用程序的運行信息,用於排查和診斷系統的故障;
2.linux系統中日誌記錄的範圍:加載內核、init進程啓動、啓動/etc/rc.d/rc3.d/S開頭的服務、用戶登錄、系統程序運行;
3.日誌分類:
內核及系統日誌:通常由rsyslog進行管理;
用戶日誌:記錄用戶的行爲;
程序日誌:通常獨立管理,不交給rsyslog;
二、分析日誌文件;
1.常見的日誌文件:
/var/log/messages:啓動過程日誌文件,通常有硬件加載信息,也稱爲公共日誌;
/var/log/dmesg:啓動過程日誌文件,通常有硬件加載信息,對解決硬件故障有幫助;
/var/log/secure:用戶登錄認證日誌文件;
2.rsyslog服務:管理內核、系統、用戶的日誌
vi /etc/rsyslog.conf ##編寫日誌的規則(rules)
語法:設備.優先級 日誌存放位置
設備(程序):auth(認證,與security相同)、cron(計劃任務)、kern(內核)、mail(郵件)、user(用戶)、local1-local17 (用戶自定義存放位置)
優先級:嚴重級別從低到高,1.debug調試 2.info信息 3.notice提醒 4.warn注意 5.error錯誤 6.crit嚴重 7.alert警告 8.emerg緊急,等於panic恐慌
特殊符號:*代表所有的設備或優先級,;表示隔開多個區域
3.查看/var/log/messages文件;
tail /var/log/messages ##查看尾部的文件內容
日誌格式 時間 主機名 程序(或設備) 日誌內容
4.用戶日誌分析:
查詢當前系統的登陸狀況: users ##每個用戶對應一個終端
查詢登陸系統的詳細信息: who ##包括用戶、終端、日期
查詢當前系統中的每個用戶和其所運行的進程: w ##包括用戶、終端、進程
查詢最近成功登陸系統的用戶: last
查詢最近登陸失敗的用戶:lastb
5.程序日誌文件分析:
並無使用rsyslog服務來管理程序日誌,由程序自己維護日誌;
三、linux系統常見啓動故障:
1.MBR扇區故障:
MBR扇區概述:位於物理硬盤的第一個扇區(512B),又稱爲主引導扇區,前446個字節是主引導記錄(GRUB引導), 後64個字節包含了整個硬盤的分區表,還有2個字節大小的分區標誌;
故障原因:病毒***等的破壞,不正確分區,磁盤讀寫誤操作等;
故障現象:找不到引導,啓動中斷,無法加載操作系統,開機後黑屏;
解決思路:應先做好sda中的備份,然後使用系統光盤進救援模式進行恢復;
a.備份:因爲MBR扇區存放了整塊硬盤的分區信息,所以必須新添加一塊硬盤進行掛載,然後dd MBR中的數據到掛 載點(dd if=/dev/sda of=/benet/sda.bat bs=512 count=1);
b.若出現此故障,則開機屏幕會顯示Operating system not found,在測試環境中可以模擬故障(dd if=/dev/zero of=/dev/sda bs=512 count=1);
c.需使用系統光盤,調整bois啓動,進入急救模式後(注:在急救模式中,使用的是光盤的linux目錄結構),所以找 不到MBR扇區所在磁盤的任何分區信息,需要在光盤下新建掛載點,然後將備份數據所在的硬盤掛載到掛載點,在 進行數據恢復(dd 掛載點下備份內容到MBR所在位置);
2.grub引導故障:
GRUB引導概述:GRUB大多爲linux默認的引導程序,主配置文件/boot/grub/grub.conf;
故障原因:主配置文件grub.conf文件丟失;
故障現象:引導停滯,無法啓動系統,出現grub>字段;
解決思路:
a.備份:將grub引導程序的主配置文件/boot/grub/grub.conf備份到別的存儲位置;
b.模擬故障:將主機的/boot/grub/grub.conf文件刪除,重啓主機;
c.修復1:手動在grub>字段後輸入grub信息 ,進入系統後進行修補grub.conf文件;
d.修復2:進入光盤救援模式;
chroot /mnt/sysimage ##光盤模式默認是光盤的目錄結構,由於系統的分區表沒有損壞,那麼救援模式將linux 主機的目錄架構掛載到了/mnt/sysimage下,需要使用此命令切換到待修復的linux系統;
cp grub.conf備份文件位置 /boot/grub/ ##將備份的grub.conf文件恢復到/boot目錄下
exit ##退出待修復的系統模式
reboot ##重啓驗證是否修復成功
e.若通過以上步驟無法修復grub引導問題,那麼需要進入光盤救援模式,重新安裝grub引導程序,若grub.conf配置文件內部字段被損壞,可以執行重新安裝引導,若此文件丟失則無法安裝123;
chroot /mnt/sysimage
grub-install /dev/sda ##重新安裝grub引導程序到sda分區中
exit ##退出待修復的系統模式
reboot
3.遺忘root的密碼:
解決思路:兩種方案
a.進入單用戶模式進行修改root密碼:開機到秒數時按下鍵--選擇grub行按e鍵--將光標移動到kernel行按e鍵--輸入 空格1然後回車--將光標移動到kernel行按b鍵--進入單用戶模式;passwd 更改root的密碼;
b.進入光盤救援模式進行修改root密碼:
chroot /mnt/sysimage ##切換到待修復linux系統的的模式下;
passwd ##更改root的密碼
exit ##退出待修復linux系統的模式
reboot ##重啓主機,登陸驗證
4.文件系統故障:
故障原因:非正常關機、突然斷電、設備讀寫失誤等(文件系統的超級塊super-block信息被損壞);
故障現象:無法向分區中讀取或寫入數據,啓動後顯示Give root password for maintenance;
解決思路:
a.模擬故障:dd if=/dev/zero of=/dev/sdb1 bs=512b count=4 ##將sdb1分區的文件系統破壞掉
b.測試掛載:出現mount: you must specify the filesystem type;
c.修復文件系統:fsck -y -t ext4 /dev/sdb1 ##修復文件系統
d.再次測試掛載:mount /dev/sdb1 /benet
5.磁盤資源耗盡故障:
故障原因:磁盤空間已被大量的數據佔滿,空間耗盡,有可用空間,但文件數i節點(磁盤中的文件的指針,當Linux系 統要查找某個文件時,它會先搜索inode table找到這個文件的屬性及數據存放地點,然後再查找數據存放的Block進 而將數據取出)耗盡;
故障現象:無法寫入新的文件,提示設備上沒有空間,部分程序無法運行,甚至系統無法啓動;
解決思路:
a.清理磁盤空間、刪除無用的佔用i節點的小文件;
b.爲用戶設置磁盤限額;
注:df -i ##查看磁盤分區的i節點使用情況
6.磁盤壞道的檢測:
故障原因:磁盤設備中存在邏輯的或者物理的壞道情況
故障現象:讀取磁盤中的數據時,磁盤設備發出聲響、訪問磁盤中的文件時,反覆讀取且出錯,提示文件損壞、新建立的 分區無法格式化;
解決思路:
a.檢測磁盤時候存在壞道情況(badblocks -sv /dev/sdb);
b.修復硬盤或者更換新的硬盤;
四、擴展:爲grub引導菜單設置密碼;
grub-md5-crypt ##生成MD5加密的字符串
將密碼加密串寫入配置文件/boot/grub/grub.conf 配置文件
在hiddenmenu 和 title之間增加加密信息,如下
password --md5 加密字符串 ##設置密文密碼
password=123123 ##設置明文密碼