任务14、系统日志分析与服务器系统故障判断任务描述日志对于安全来说,非常重要,他记录了系统每天发生的各种各样的事情,你可以通过他来检查错误发生的原因,或者受到攻击时攻击者留下的痕迹。Lilo装载的时候,会逐步显示单词“LILO”,每完成一个特定的步骤显示一个字母。如果Lilo在某个步骤失败了,屏幕上就显示到特定字母,以指示故障发生在哪里。能力目标学会分析系统日志和服务器系统故障判断。方法与步骤系统日志分析:用vi等文字编缉工具打开相关的日志,从日志中分析各类事件。服务器系统故障判断:在开机或重启的时候,计算机都会自动开始检测各类计算机硬件及其服务是否能正常运行和启动,在提示下有助于管理人员发现故障。提示Linux下的文件系统通常有两种,即日志文件系统和非日志文件系统,非日志文件系统在工作时,不对文件系统的更改进行日志记录。日志文件系统则是在非日志文件系统的基础上,加入了文件系统更改的日志记录。当Lilo装载的时候,会逐步显示单词“LILO”,每完成一个特定的步骤显示一个字母。如果Lilo在某个步骤失败了,屏幕上就显示到特定字母,以指示故障发生在哪里。相关知识与技能RedHatLinux常见的路径与日志文件:/var/log/boot.log该文件记录了系统在引导过程中发生的事件,就是Linux系统开机自检过程显示的信息。/var/log/cron该日志文件记录crontab守护进程crond所派生的子进程的动作,前面加上用户、登录时间和PID,以及派生出的进程的动作。/var/log/maillog该日志文件记录了每一个发送到系统或从系统发出的电子邮件的活动。它可以用来查看用户使用哪个系统发送工具或把数据发送到哪个系统。/var/log/syslog默认RedHatLinux不生成该日志文件,但可以配置/etc/syslog.conf让系统生成该日志文件。/var/log/wtmp该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件。因此随着系统正常运行时间的增加,该文件的大小也会越来越大,增加的速度取决于系统用户登录的次数。/var/run/utmp该日志文件记录有关当前登录的每个用户的信息。因此这个文件会随着用户登录和注销系统而不断变化,它只保留当时联机的用户记录,不会为用户保留永久的记录。系统中需要查询当前用户状态的程序,如who、w、users、finger等就需要访问这个文件。/var/log/xferlog该日志文件记录FTP会话,可以显示出用户向FTP服务器或从服务器拷贝了什么文件。服务器系统故障判断:LLilo的第一部分已经被装载,但不能装入第二部分的引导程序。这种情况通常是在介质访问失败或硬盘几何参数(CHS,chs)不匹配。LILILO的第一阶段已经装入了Lilo的第二部分,但是执行Lilo失败。错误的原因是硬盘几何参数不匹配或/boot/boot.b被移动后没有重新运行映射(map)安装程序。LIL第二阶段已经启动,但它不能从映射(map)文件读出描述符表(descriptortable)典型原因是介质出错或硬盘几何参数不匹配。LIL?Lilo的第二部分被装入到错误的地址。典型原因是硬盘几何参数微妙的不匹配或/boot/boot.b被移动而没有运行映射安装程序。LIL-描述符表被破坏了。这可能是/boot/map被移动后没有运行映射安装程序或几何参数不匹配。LILOLilo的所有部分都被成功地装入。1010101010分区情况已经改变却没有重新安装Lilo,在一些特殊的情况(比如超频)也会发生这种情况。思考与练习1、从dmesg命令的消息输出中可以获得什么信息?2、系统启动时的dmesg消息会保存在哪个文件中?3、如何将日志保存到日志专用服务器上?4、请使用你熟悉的软件分析APACHE的日志文件,并进行访问统计。