一:日志管理:
1.日志介绍:
/var/log/boot.log 系统服务启动的相关信息,文本格式
2.日志的级别:
3.日志的种类及位置:
3.1系统日志:
/var/log/secure:系统安全信息
/var/log/messages :系统中大部分的信息
3.2用户登陆日志:
/var/log/btmp:查看用户登陆失败的信息,lastb命令进行查看,last命令可以查看
/var/log/wtmp:哪些用户正常登陆到系统中,可以使用last命令查看
/var/log/lastlog:每一个用户最近一次的登录信息,lastlog命令可以查看
3.3程序日志:
和程序本身有关,有的有独立日志,有的没有独立日志
4.日志的位置:
5.日志的管理及工具:
5.1 journalctl:
CentOS 7 以后版,利用Systemd 统一管理所有 Unit 的启动日志。带来的好处就是,可以只用journalctl一个命令,查看所有日志(内核日志和应用日志)。
日志的配置文件:
/etc/systemd/journald.conf
journalctl命令格式:
journalctl [OPTIONS...] [MATCHES...]
案例:
#查看所有日志(默认情况下 ,只保存本次启动的日志)
journalctl
#查看内核日志(不显示应用日志)
journalctl -k
问题:
怎么看几点几分到几点几分的日志?
6. 日志的分析:
二、rsyslog管理:
2.1 系统日志术语:
facility:设施,从功能或程序上对日志进行归类
Priority 优先级别,从低到高排序
参看帮助: man 3 syslog,man logger
2.2 rsyslog相关文件
- 程序包:rsyslog
- 主程序:/usr/sbin/rsyslogd
- CentOS 6:/etc/rc.d/init.d/rsyslog {start|stop|restart|status}
- CentOS 7,8:/usr/lib/systemd/system/rsyslog.service
- 配置文件:/etc/rsyslog.conf,/etc/rsyslog.d/*.conf
- 库文件: /lib64/rsyslog/*.so
2.3rsyslog配置文件
统一收集日志
/etc/rsyslog.conf配置文件格式**:由三部分组成
- MODULES:相关模块配置
- GLOBAL DIRECTIVES:全局配置
- RULES:日志记录相关的规则配置
通常的日志文件的格式:
日志文件有很多,如: /var/log/messages,cron,secure等,基本格式都是类似的。格式如下:
2.4 实际操作,将ssh服务的日志单独设置:
#查看ssh服务的日志位置
#修改ssh配置文件,32下一行添加自己的自定义
33 SyslogFacility LOCAL6
#vim /etc/rsyslog.conf
#76 行添加自己的文件位置
#重启服务
#查看
2.5网络日志(远程日志功能):
192.168.91.100——》192.168.91.101
1.关闭防火墙
2.在192.168.91.100和192.168.91.101共同设置:
3.在192.168.91.100上操作
4.检验:
三:inode和block的概述:
文件数据包包括元信息与实际数据
文件存储在硬盘上,硬盘最小存储单位是“扇区”,每个扇区存储512字节
1.inode(索引节点):
- 中文名“索引节点”,也叫i节点
- 用于存储文件源信息
inode 包含文件的元信息
-
文件的字节数
-
文件的拥有者的UserID
-
文件的GroupID
-
文件的读、写、执行权限
-
文件的时间戳
-
文件类型
-
链接数
-
有关文件的其他数据
注意:inode不包含文件名
stat :
用stat命令,查看某个文件的 inode 信息
三个时间戳:
更改最好用mtime
inode号:在同一个设备上是唯一的
inode号是有限资源,它的多少和磁盘大小有关
问题:我磁盘空间还剩很多但是无法继续建立文件?
inode号用完了
lvm扩容
普通分区,删除没有用的空文件
根据文件夹的文件名和indoe号的关系,找到对应的inode表(属主属组)当中的指针找到磁盘上的真实数据
2.block(块):
- 连续的八个扇区组成一个block(4K)
- 是文件存取的最小单位
du:查看占用磁盘大小
ls:查看占用文件的真实大小
