16 -日志管理/177 -日志管理-常见系统日志

大家好，欢迎大家继续收看上回古的云计算课程，我是沈超老师。这节课我们来学习第16章日志管理啊，日志也就是我们记录在我们系统当中的这些啊，这个你发生过的事件呀，啊，有没有出现问题啊，这样一个东西，那各位日志呢，对运维工程师来讲，它是一个非常重要的帮助手段和帮助的这样一个内容。你一定要记得他是一个你的好的帮手，所以当出现了任何问题之后，你的第一反馈应该是去先查看日志。一般的这种错误。操作在日志里都会有显示，哎，他会帮助你来判断你到底哪里出了问题，OK，当然。日志也有讨厌的地方在于什么，它是纯文本，纯的文本里面就是一行一行一行啊，几点几分，哪一个这个服务啊，出了什么事，他给你记录下来，那其实我们要想纯手工从里面找到有用的内容，其实还是很困难的，就有时候咱们这个虚拟机啊，因为访问人数少啊，里面放的程序也少，所以还好，但是真正的生产服务器上面，它你可能你想一天就。

你想你的阿帕奇可能一个小时，我说它就能够支撑到十几万的这个并发访问量，那每条访问量最少就会产生一条日志啊，那也就是说你可能一天的时间，你的阿帕奇日志就会产生几十兆甚至上百兆B的中文的。哎，照壁的文本啊，我不知道你们有概念吗？我们换个说法，大家看小说吧。你看的最大的小说多多大啊各位，我看的那个最大的小说应该就是凡人修仙传，大概十几这个赵币，你想想如果你看需要多长时间，我记得可能断断续续的看，看了好几个月，哎，那你想啊，他才十几照币，而我们的日志呢，一天就有可能产生几十个兆币，尤其像阿帕奇这样访问量巨大的服务器，它的日志量会更大，那我要想从里面找到有用的信息是不是就很困难？当然我说实话，你你真的查日志，你也不会像看小说一样，一个字一个字往下看，对吧？呃，其实还是能够手工找的，比如说我先判断一下，我看按时间来作为我的检索的这个依据，我先判断我的服务器大概是在几点几分出了什么问题，然后呢，我就开始找时间，找到那个时间段发生的日志，这样的话量就小得多了，但是啊。

还是很困难。所以我们说。日志呢，现在我们现在这里讲的呢，可能就是一个啊，啊，就是纯文本日志，我们教你怎么他怎么用，然后呢，怎么查它的服务用的是什么，他怎么来做它的轮气啊，我们来教的是这些内容，但是在真正的工作中，这个东西它的量太大了，我们可能就需要日志的分析工具。

就是说我不能光靠人手工来做了，我要靠日志分析工具来完成，那各位日志分析工具现在最常见的一个EK日志分析平台，但是这个东西在我们今天的课程里讲不了，原因它是利用外部环境来做了这样一个日志开发环境，这样一个工具，换句话说，要想使用EK，你先得学会LNP环境。诶，你的LP环境的搭建N，这个是基本使用啊，这个时候用完这些东西，你才可以回头来学这个，所以我们等erk，我们可能就必须要等到我们后边的服务学完，我们再来看这个erk这个工具怎么用，所以今天我们就不考虑工具了。没有日志工具了，我们今天就是什么日志的纯文本分析，我们来看看它的基本原理和它的基本使用方法啊，这是日志，我再强调一遍，日志对管理员来讲，对运维工程师来讲，这是你的重要的帮手，出了问题之后一定要记得先去查询日志。还有一件事就是。

如果你需要备份数据，我们都知道数据库需要备份，对吧，我提醒你日志也需要备份，哎，日志啊这个东西你可能这个呃呃，它可能会产生的很多，而且我们后面会做轮记，每天存一个日志，有些时候你不不管它，它就就把前面的日志就删掉，这个时候啊，我说我们应该有概念啊，你的日志还是应该要备份的，你最少应该保留这个半年左右的日志，我觉得啊，这是一个比较，呃，怎么说呢，比较安全的做法，所以记得日志可能要加在你的备份脚本当中啊，别忘了好。强调了一下日志的重要性，那我们来看看我们这里说了，从三个S6开始，我们的日志从R这个使用r c lock代替了原有的s lock服务啊，其实这个对普通用户来讲，你感觉不到，你就记得这个东西可能原先起s lock服务，现在变成其r s lock就OK了，就OK了，呃呃，其实原因很简单，这个东西认为这东西更安全，那它的性能不是它的性能更好，更强大，然后呢，呃，它比ccla用起来更方便，所以呢，我想了他，他认为就有这么多一些，这是官方给的理由啊，说这个东西更好，哎，行了，你就知道它更好就行了，我们从SS6开始，我们使用的是RS这个服务了，好。

然后我们来看看常见日志，那我们前面都说过了，我们的日志一般都保存在落下的log下，这是系统日志对吧？系统日志都放在这里啊，非常多的这个日志都在这，那我们说我们看看里面是什么，哎，这个是定时任务的日志对吧？这个是打印信息的日志，当然前提是你有打印机，或者你是打印服务器，那我们linus一般不会作为打印服务器啊，那也就说这是定时任务。然后呢，我们的打印机好像在哪。

哇塞，找到cup UPS啊，这这在打印机目录当中，OK，然后呢，这些都了解一下，一般不用啊，D messagessage这个我们可能要用这条日志里边记录的就是我们说了开机内核自检信息跟我们d messagesage命令，哎，我们之前是不是讲了这样一个命令。它的作用是不是就是查看开机的这个信息，两个里边记录东西是一样的。也就是说你查这个日志，好，直接使用message命令，看到的内容都一样，它记录的是我们开机之后的内核的自检信息，Message来我们看一下，来这些都是一样的，和我们message命令一样的，好，这个有可能会用到。其四，这里。有一个叫BTP的文件，我们日志，我们我们尝试用VI打开一下，我们看看。这个文件我们看看。

你会发现它是乱码，诶各位，这些日志它不止这一个啊，不光是他，还有这个last block，包括这个WTMMP，还有这个u tmp，这些日志都有这个特征，它里面是二进制。里面写的是二进制信息，不能直接使用VI查看，为什么这样？原因很简单，这几个日志里面记录的是重要系统资源，就是你跟你的安全有关的，哎，比如说BTMP记录的是错误登录的人，哎，如果你有人错误登录，它会记录是谁从哪个终端在几点几分登录失败，诶，各位。这个东西是用来帮助你判断你的服务器有没有被别人入侵的这样一种日志，重要系统安全日志，所以如果把它不写成二进制，而直接写成文本，那我问你啊，我如果真的写成普通文本文档，那我问你，我真要是攻击了你的服务器，我登进来了，我可不可以把这个文本改了，我把我这个登录的信息我就给它消除掉，可以吧？

那这样的话，这个文本它是不是就不够可靠了，对吧，而我变成二进制了，纯二进制了，打开之后全是乱码，你是不是就文本也不能查，你就改不了了，你只能通过命令是不是才能查看，这样的话是不是就避免了你人为来修改这些重要的安全日志，从而造成什么他的不可靠听懂了，所以啊，这类的日志都是这样的，打开看都是二进制转的，它只能通过命令来看。这个命令。诶，我们前面还真没讲，我们lastlo都讲了对吧，这个没有，它记录的是错误登录，这个错误了登录信息，那我们试试LAST1，诶我们就能看到两个UC1没不是远，这个通过远程登录，不知道是哪个终端，然后登录IP，几点几分登录失败，OK，那他是不是就可以看到有人如果不断的在尝试登录你，你是不是就要考虑把他的IP封掉了，这哥们可能是不是在攻击你，他在暴力破解你的密码，对吧。

好。这是这个日志，那拉斯lo我们讲过了对吧，它的作用是查询最后一次登陆的时间对吧，那我们它也只能通过命令是不是来看这个讲过了啊，然后呢。这个WP我们WTP我们是不是也讲过了，它是用last命来看，对吧，这个是我们讲的是系统的，包括它的系统人员的登录时间，包括系统的重启时间都会记录在这，对吧，这都讲过了。而且这还有一个wa下的RA，哎，这个没在下log下看见它U千P这个是不是就是WWHO这些记录我们当前登录的用户的这些这个命令。他查询的是不是就是这个日志，好，这四个都是这样的。这四个文件都是不能用VI打开的啊。

回来接着来，那还有什么邮件日志诶。这个message，这是重要系统日志，我们绝大多数linus产生的信息，无论是正确信息还是错误信息，都保存在这个日志当中。换句话说，如果系统出了问题，你首先要查看的就应该是这个message日志，我们打开看看。哇，下的log下的message好，我们打开，我们放到后面，你能看到几点几分主机名服务它干了什么啊，这里现在记录的可能只是系统在重启啊，只是在这个系统重启，你的网卡关关闭了，开启了，然后呢，前面应该还有什么，比如说你能看到我们的服务的开启。比如说我们呃，啊安装了新ne，这是我们之前做实验做的，对不对，诶包括我们能看到一些服务的重启动啊，如果有日志的话，如果有这个服务放在这里，如果是普通服务可能放在他自己的啊，这些呢，就是我们重要系统日志啊，当然我说实话，这里边儿内容太多了，你要想从里面找到有效信息，还是需要点时间的啊好。

这是message非常重要的系统认志。其次，Secret这里面记录的是跟我们的验证授权有关的，也就是说你只要需要涉及输入账号密码，它都会记录在这里。这也是重要的系统安全日志，那么是挖下的log下的这个S。那我们就能看到啊，它的这个比如说。诶什么什么时间允许从哪一个这个IP通过哪一个端口登录到了我的计算计算机之上，诶能看到登录时间啊，这里现在主要是登录，包括什么速啊，我们切换这个日志啊，速度授权呀，包括你添加用户修改密码都能在这个日志里找到。好，那这两个就是我们最主要的安全日志了，当然这些日志也很重要，但是它都是通过命令来使用的，这些都是，那剩下的这些日志呢，我们说哎，我们就不再强调了，如果你们用到自己来看就行了，可以。

还有提醒你们啊，并不是说所有的系统日志都会在哇下的log下。各位，这个事儿我们强调过，只有通过R偏包安装了，才会把日志放在这儿。而如果是源码包安装的，你的源码包日志就在你的源码包指定目录下能听懂，也就是说啊各位。如果你装了阿帕奇这些服务，比如说装阿帕奇，装了邮件，装了桑把，装了SSD这种服务，那他的日志会在，如果用R片包装的，他们都会在瓦箱的log下，我这里有吧，我可能之前装过。哎，那这个日志记录的就是阿全包安装的这个阿帕奇的日志，但是我们前面讲课，我们为了举例，我是不是好像应该装了源码包了，那你小象啊，源码包的可是全部都在它的源码包安装目录下，源码包的日志在源码包目录下会有一个叫做log，各位它不在一个位置，你不要搞错啊，在哇下的log下里放的都是系统默认的日志。

通过安全包装了才在这儿，源码包是全部都在源码包的手工指定位置下，那如果是服务。如果是这个你手工安装的服务，你就要确定你装的是源码包还是R片包，然从而去找它不同的日志位置，OK啊，小心啊，这个事儿请你们注意好，这里我们强调了常见日志，当然如果你真装了服务，那这些服务的日志也就变成一个常见日志，这就是我们最最常访问的日志，对不对？好，各位。那我们这节课呢，强调了一下日志的重要性，哎，千万不要忽略它，因为在Windows上你们几乎没有看过日志，Windows有日志吗？当然有啊，六级管理六级这个我的我的电脑，然后这里这个事件查看器，这里面就是我们的Windows日志啊，这里面也有啊，非常多日志也是一大堆，这个量也很多。

所以我们说啊，不论是对任何系统日志这个太多了啊，刷出来了。都是这个重要的这个帮助信息，但是对于个人用户来讲，我们几乎都在忽略日志，我们没人再考虑这个事儿，所以强调对于运维工程师志日志的重要性是非常重要的。再有一个告诉你常见的日志是在哪，它是干什么的，哎，同样再强调一下服务安装的日志，通过你的安装方法不同，它的日志位置可能是不在一个位置，大家需要注意这个细节。好，那这节课吧，就到这里，我们休息一会儿，下节课再见。