第6章系统监控和备份

红旗软件技术学院——RCE课程之系统管理邮电：z_an_d@tom.com第6章系统监控和备份教学内容：系统监控系统日志管理系统备份教学目标：了解系统监控的作用熟悉系统日志的分类及作用掌握系统监控、系统备份的操作方法及系统日志的配置教学重点：系统日志的配置系统备份教学难点：系统日志的配置一.系统监控1．系统监控的意义收集系统信息分析系统的性能优化系统性能2．监控的对象CPU内存I/O设备3．系统监控的相关命令（1）top功能：监视系统整体信息，包括CPU、内存及进程信息格式：#top[选项]选项：-d指定每两次屏幕信息刷新之间的时间间隔。-p通过指定监控进程ID来仅仅监控某个进程的状态。-u指定用户名/UID，用来监视指定的用户进程Top交互命令：k终止指定的进程r改变进程的优先级s改变刷新间隔q退出top程序实例：#top（2）uptime红旗软件技术学院——RCE课程之系统管理邮电：z_an_d@tom.com功能：显示系统运行的时间、最近的负载平均数实例：#uptime7:51pmup2days,5:43,2users,loadaverage:8.13,5.90,4.94说明：系统平均负载被定义为在特定时间间隔内运行队列中的平均进程数一般来说只要每个CPU的当前活动进程数不大于3那么系统的性能就是良好的，如果每个CPU的任务数大于5，那么就表示这台机器的性能有严重问题（3）free功能：监视系统内存使用情况实例：#free（4）vmstat功能：显示CPU、内存及虚拟内存的使用情况格式：#vmstat[参数][延时［次数］]参数：-d：显示磁盘状态信息（适用于2.5以上的内核）-n：第一次信息只显示一次，不周期显示实例：#vmstat-------procs-----------------memory---------------swap-------io------system------cpu----rbswpdfreebuffcachesisobiboincsussyidwa000167229032108664006616101225927873输出结果说明：Procsr:等待运行的进程数b:被资源阻塞(I/0,页面调度,等等)的进程数Memoryswpd:虚拟内存使用情况free:空闲内存使用情况buff:作为缓存的内存数cache:作为cache的内存数.Swapsi:从磁盘交换到内存的交换页数量(/s).so:从内存交换到磁盘的交换页数量(/s).IObi:发送块设备的块数(blocks/s).bo:从块设备接收的块数(blocks/s).Systemin:每秒的中断数.cs:每秒环境的切换次数CPUus:CPU的用户使用时间红旗软件技术学院——RCE课程之系统管理邮电：z_an_d@tom.comsy:CPU的系统使用时间id:CPU的空闲时间wa:CPU的等待时间评价准则：如果r经常大于4，且id经常少于40，表示cpu的负载较重如果si，so长期不等于0，且free长期为0，表示内存不足。（5）mpstat功能：显示CPU的状态信息（安装软件sysstat才mpstat命令）格式：mpstat[参数]参数：-Pcpu编号/ALL显示指定CPU的状态信息实例：#mpstat#mpstat–P0（6）sar功能：一种综合性能测试工具，可以监视CPU、内存及硬盘等设备（安装软件sysstat才mpstat命令）格式：sar[选项][-A][-ofile]采样间隔[采样次数]选项：-A：所有报告的总和。-u：CPU利用率-d：硬盘使用报告。-r：内存信息。-b：报告I/O及传输速率。-c：系统调用情况。实例：#sar#sar–u55#sar–d注意：在运行sar之前，必须运行sa1、sa2和sysstat（7）iostat功能：报告CPU使用和I/O设备传输情况格式：iostat[选项][间隔[次数]]选项：-c只报告CPU状态信息-d只报告I/O设备传输情况-k以KB为单位报告I/O设备传输情况实例：#iostat#iostat–c（8）demsg功能：报告系统启动时检测信息实例：#dmesg（9）hdparm功能：显示磁盘信息和设置磁盘参数红旗软件技术学院——RCE课程之系统管理邮电：z_an_d@tom.com格式：hdparm选项磁盘设备文件选项：-i:显示设备参数-c:16/32位传输开关-d:DMA模式开关-X:传输模式-u:屏蔽中断实例：#hdparm-i/dev/hda#hdparm-d1/dev/had二．系统日志管理1．日志的作用记录系统正常的或不正常的运行信息,有助分析系统的状况和监视系统的活动发现试图攻击系统安全的重复举动跟踪那些想要越权的用户跟踪异常的使用模式实时跟踪侵入者2．日志的种类（1）连接时间日志说明：由多个程序执行，使系统管理员能跟踪谁在何时登录进入系统。文件：/var/wtmp（记录用户登录和退出记录，可利用last/lastlog命令显示日志）/var/run/utmp（记录当前的用户登录信息，可利用who/w/users查看日志）（2）内核和启动日志说明：由系统内核执行，记录启动和内核的实时日志。文件：/var/log/dmesg（内核信息记录文件）/var/log/boot.log（记录启动检测信息）（3）系统事件日志说明：各种系统守护程序、用户程序和内核通过syslogd记录状态信息文件：/var/log/messages和/var/log/syslog另外有许多UNIX程序创建日志。像HTTP或FTP这样提供网络服务的服务器也保持详细的日志。3．Syslogd的配置Syslogd是一种系统服务，主要用于系统日志记录。#vi/etc/syslogd.conf文件格式：服务名称.信息等级记录动作说明：（1）服务名称红旗软件技术学院——RCE课程之系统管理邮电：z_an_d@tom.comauthlogin、su、getty等，即询问用户名和口令authpriv同LOG_AUTH，但只登录到所选择的单个用户可读的文件中croncron守护进程daemonkern内核产生的消息lprlpr、lpdmail电子邮件系统newssyslog由syslogd产生的内部消息user随机用户进程产生的消息uucpUUCP子系统local0~local7为本地使用保留（2）信息等级info:一些提示信息资料notice:需要您注意的信息；warn或者waring：警告信息；error或者err:错误信息。crit：很严重的错误，到达临界点alert:警告！相当严重的错误；emerg或者panic：系统混乱；debug:将显示很多信息none:什么信息也不记录。（3）记录动作文件名：把信息记入指定的文件中@主机名/IP地址：把消息发送给指定的日志服务器用户名，……：传送给指定的用户*：把信息传送当前登录的用户配置文件实例：mail.*/var/log/maillog*.emerg**.alertroot,adminkern.*/dev/console*.info:mail.none;authpriv.none/var/log/messages4．管理系统日志（1）logrotate的介绍系统日志文件是无限大的，为了将日志文件分为多个文件，Linux系统引用logrotate软件进行管理，logrotate软件包括以下主要文件：/etc/logrotate.conf：logrotate的核心配置文件/usr/sbin/logrotate：logrotate的可执行程序/etc/cron.daily/logrotate：自动运行脚本红旗软件技术学院——RCE课程之系统管理邮电：z_an_d@tom.com（2）logrotate的配置#vi/etc/logrotate.conf文件内容：weeklyrotate4createinclude/etc/logrotate.d/var/log/wtmp{monthlyCreate0644rootumtprotate1}说明：compress压缩日志文件的所有非当前版本daily,weekly,monthly指定轮换日志间隔missingok如果日志不存在，不会发出抱怨delaycompress压缩最近之外的所有版本endscript标记prerotate或postrotate脚本结束errosmail向指定的mail报告错误notifempty日志为空则不转换postrotate轮换日志后则运行的脚本prerotate轮换日志前要运行的脚本rotaten轮换方案中的版本数sharedscripts只为日志组运行一次的脚本size=logsize如果日志文件大于logsize才轮换实例：Rotate5Weeklyinclude/etc/logrotate.d/var/log/.mesages{postrotate/bin/kill–HuP`cat/var/run/syslogd.pid`endscript}三.系统备份1.tar备份功能：为文件或目录创建备份格式：tar[参数]文件/目录名参数：-t：列出压缩包中的文件（*.tar）红旗软件技术学院——RCE课程之系统管理邮电：z_an_d@tom.com-x：解压缩（*.tar）-z：使用gzip的压缩文件-c：创建压缩包-f：指定文件名-j：使用bzip的压缩文件-v：显示操作信息-C：指定解压路径（默认路径为当前路径）-r：向压缩包添加文件-u：更新压缩包中的文件-k：还原文件过程中，遇到相同文件不覆盖-m：还原文件过程中，修改文件的时间为当前时间--delete：从压缩包中删除文件实例：#tar-cvfall.tar*.jpg#tar-uvfall.tarlogo.gif#tar-rfall.tar*.gif#tar-cvfzetc.tar.gz/etc#tar-xvfall.tar#tar-xzvfetc.tar.gz-C/soft#tar-fetc.tar--deleteetc/grub.conf#tar-rvfetc.tar/boot/grub/grub.conf2．dump功能：备份文件ext2/ext3系统格式：dump选项-f备份设备备份的文件系统选项：-u:让dump备份后更新/etc/dumpdates-f:通知dump输出发送到别处-0-9：备份等级（0表示0级或基本级备份。这是完全系统备份，您要定期执行以保存整个系统。对于后续的备份，您可以使用其他数字（1-9）来代替0，以改变备份级别）实例：#dump-0f/bak/bootbak/boot3.restore功能：还原dump的备份格式：restore选项备份设备选项：-f指定文件-i允许备份的交互恢复，恢复方式中有几个命令-r在全新格式化分区重建数据-t列出备份中的文件名-x提取指定的文件实例：#restore–rf/bak/bak1红旗软件技术学院——RCE课程之系统管理邮电：z_an_d@tom.com#restore–xf/bak/bak1./boot/message#restore-if/bak/bak14.cpio功能：备份标准的输入输出内容格式：cpio选项文件名选项：-A添加到档案末尾，与-F密切相关-F指定档案文件名，可以换成反向箭头-i从档案文件或设备读取-o复制到档案文件或者设备-u替换所有文件，使其更新实例：#find/-name'*.tif'|cpio-o/bak/bak2.cpio