一、日志的分析与管理

1、日志文件的分类

内核及系统日志

由系统服务syslog统一进行管理

用户日志

记录系统用户登录及退出系统的相关信息

程序日志

由各种应用程序独立管理的日志文件，记录格式不统一

2、日志保存在/var/log下

内核及公共消息日志：/var/log/messages

计划任务日志：/var/log/cron

系统引导日志：/var/log/dmesg

邮件系统日志：/var/log/maillog

用户登录志：/var/log/lastlog /var/log/secure

/var/log/wtmp /var/run/utmp

3、syslogd管理日志

配置文件：/etc/syslog.conf

格式如下

服务类别.日志级别 日志消息发送位置

4、日志消息的级别

0 EMERG（紧急）：会导致主机系统不可用的情况

1 ALERT（警告）：必须马上采取措施解决的问题

2 CRIT（严重）：比较严重的情况

3 ERR（错误）：运行出现错误

4 WARNING（提醒）：可能会影响系统功能的事件

5 NOTICE（注意）：不会影响系统但值得注意

6 INFO（信息）：一般信息

7 DEBUG（调试）：程序或系统调试信息等

5、系统及内核日志格式

时间标签 主机名 子系统名称 消息

6、用户日志分析

/var/log/lastlog：最近的用户登录事件

/var/log/wtmp：用户登录、注销及系统开、关机事件

/var/run/utmp：当前登录的每个用户的详细信息

/var/log/secure：与用户验证相关的安全性事件

7、程序日志

Web服务：/var/log/httpd/

access_log和error_log

代理服务：/var/log/squid/

access.log、cache.log、squid.out、store.log

FTP服务：/var/log/xferlog

二、系统启动类故障排除

1、修复MBR扇区

1)备份MBR扇区数据

dd if=/dev/sda of=/backup/sda.mbr.bak bs=512 count=1

2)模拟MBR被破坏的故障

dd if=/dev/zero of=/dev/sda bs=512 count=1

3)RHEL5光盘引导，进入急救模式

boot: linux rescue

4)从备份文件中恢复MBR扇区

dd if=/tempdir/sda.mbr.bak of=/dev/sda bs=512 count=1

2、/etc/inittab文件丢失

#rpm -ivh --replacepkgs initscripts*

三、软件包故障排除

1、重建RPM数据库

rpm --rebuilddb 或 rpm --initdb

2、缺少so文件

在/etc/ld.so.conf后添加so文件的路径

ldconfig

四、文件系统磁盘类故障排除

1、fsck -yt ext3 /dev/sdb1 修复/dev/sdb1分区的ext3

2、df -i /dev/sdb1 查看/dev/sdb1的i节点使用情况

3、fuser -mv /dev/cdrom 查看正在使用cdrom用户进程信息

fuser -k /dev/cdrom 关闭正在使用的cdrom进程a

4、检测磁盘坏道

mkfs -t ext3 -c /dev/sdb1 | grep bad

badblocks -sv /dev/sdb1

五、查看系统性能状况

1、uptime

/proc/loadavg

2、vmstat

free

3、磁盘i/o

iostat -dkt 5

4、mpstat