信创服务器操作系统（银河麒麟版）-安全与网络服务 课件 项目2 部署银河麒麟高级服务器操作系统日志管理服务

项目2麒麟银河麒麟高级服务器

操作系统日志管理服务信创服务器操作系统（麒麟版）——安全与网络学习目标理解日志概念了解银河麒麟高级服务器操作系统日志文件的基本概念与重要性熟悉文件路径掌握系统日志文件的存储位置与目录结构识别日志内容熟悉各种日志文件包含的具体内容与格式掌握管理方法学会日志文件的查看、备份、轮替和清理等管理技能项目背景天网工作室的挑战天网工作室近期上线了一台运行银河麒麟高级服务器操作系统的服务器。为保障系统稳定与安全,运维人员需要对系统日志进行全面管理。他们将借助系统自带的日志管理工具,对各类日志文件进行分类、存储和定期清理,确保日志数据的完整性与时效性。同时,利用专业的日志分析工具,对系统运行日志、安全事件日志等进行深度挖掘。核心任务日志文件分类管理定期清理与备份深度日志分析关键指标告警设置及时发现安全威胁项目实施方案01理解日志作用掌握日志文件在系统运行、安全监控和故障诊断中的核心作用02熟悉存储位置了解银河麒麟系统中日志文件的存储位置,确保准确识别与访问03掌握日志类型学习不同类型日志记录的信息类别、格式及含义04实践管理技能熟练运用查看、备份、轮替和清理等日志管理技能系统日志文件日志管理的基础知识与核心概念系统日志文件概述对系统管理员来说,系统日志文件是极为珍贵的信息宝库,能够助力他们实时监测系统和网络的运行状态,及时发现并诊断各类问题,还能开展全面的安全审核工作。实时监测详细记录系统在特定时间通过特定程序执行的操作、产生的事件和相应的信息问题诊断通过细致分析日志数据,识别潜在的数据模式,有效排除系统故障安全审核维护服务质量的重要工具,为系统维护和优化提供全面支持系统日志服务架构RSyslog-日志收集核心强大且广泛使用的日志收集工具,以高性能、模块化和可扩展性著称。设计灵活高效,支持模块化配置,能够处理大量日志数据。高性能日志处理模块化架构设计丰富的过滤选项灵活的输出配置rsyslog.service-服务管理RSyslog的服务管理单元,负责启动、停止和监控RSyslog服务的运行状态,确保日志服务稳定运行。服务状态监控自动启动管理运行状态保障系统集成支持常用日志文件路径/var/log/auth.log记录授权信息:用户登录、sudo命令使用等/var/log/boot.log开机启动过程:内核检测、硬件启动细节/var/log/kern.log系统内核产生的信息/var/log/dmesg硬件设备挂载信息和内核启动过程/var/log/messages几乎所有系统信息(除授权相关)/var/log/XorgXWindow启动日志信息/var/log/wtmp(btmp)正确(错误)登录系统的账户信息RSyslog核心功能日志格式定义定义日志信息的标准格式,使日志文件的解析和处理更加标准化和高效日志信息分类根据日志来源和类型进行分类存储,将不同类型的日志信息存放在/var/log目录下的相应文件中灵活的配置配置文件(/etc/rsyslog.conf)提供高度定制性,允许用户根据需求设置日志收集规则、格式和目的地高效处理能力能够高效处理大量日志数据,对维护系统稳定性和安全性至关重要rsyslog.service服务管理Systemd集成作为Systemd的一部分,享有完整的服务管理功能服务控制支持启动、停止、重启和状态监控等操作日志持续收集确保日志数据的持续收集和存储性能保障保持系统性能和稳定性RSyslog配置文件结构主配置文件/etc/rsyslog.confRSyslog服务的核心配置文件,定义日志处理的规则和参数扩展配置目录/etc/rsyslog.d/包含附加配置文件,用于扩展或覆盖主配置环境变量配置/etc/sysconfig/rsyslog包含启动RSyslog服务时使用的环境变量和选项rsyslog.conf核心内容模块加载配置文件开头包含模块加载指令,扩展RSyslog功能,如网络日志或数据库日志支持全局指令定义RSyslog服务的全局属性,如日志文件默认权限设置、日志轮转策略等规则定义基于规则的配置方法,每条规则由选择器(设施和优先级)和操作(执行动作)组成过滤器基于特定条件(如日志内容或来源)选择性处理日志消息模板定义允许定义模板以格式化日志消息,便于转发到不同目的地或特定格式存储包含指令可以包含其他配置文件或目录,使配置管理更加模块化和灵活50-default.conf配置文件/etc/rsyslog.d/50-default.conf是常用配置文件,包含一系列日志规则,定义不同类型和级别的日志信息应存放的位置。配置示例解析*.*;auth,authpriv.none-/var/log/syslog所有级别的日志,除了auth和authpriv类别,都记录在/var/log/syslog文件中短横杠"-"的作用在文件路径前的"-"是性能优化机制。它使RSyslog首先将日志信息存储在内存缓冲区,而不是直接写入硬盘。当内存缓冲区积累到一定数据量时,数据会被批量写入磁盘,减少磁盘写入操作,提高系统性能。RSyslog日志类别kern系统内核产生的信息,包括内核检测、内核功能启动等mail邮件系统相关信息,如邮件系统运行状态、邮件传输处理过程daemon系统服务(守护进程)产生的日志,包括后台服务运行情况auth认证和授权相关信息,如登录过程、SSH连接、sudo命令等authpriv涉及敏感认证活动的私人账户信息lpr打印相关日志,记录打印机和打印任务信息更多日志类别cron计划任务(cronjobs)相关日志,涵盖定时任务的执行情况ftpFTP(文件传输协议)通信相关信息,涉及FTP服务器和客户端交互日志通过对这些日志类别的深入理解,系统管理员可以更加高效地组织和过滤日志数据,使对特定系统组件或服务的监控更加精准,大大简化故障诊断过程。日志信息等级体系日志信息等级是表明日志消息重要性的系统,从最低的调试(debug)到最高的紧急(emerg)不等。理解这些等级对于有效分类和优先处理日志信息至关重要。7-debug最低级别,记录调试信息,用于开发或故障排查6-info基本信息级别,记录一般性信息,如系统运行状态5-notice正常但重要的信息,需要特别注意的关键系统运行信息4-warning警告级别,指示潜在问题,需要关注但不会立即影响服务高级别日志等级3-err错误信息级别,记录重大错误,可能影响某些服务的正常运行,需要立即关注和解决2-crit临界级别,比err更严重,表示严重的系统问题或错误,可能导致服务或程序不稳定1-alert警报级别,表示非常严重的问题,可能导致系统崩溃或需要立即采取行动0-emerg紧急级别,最高等级,表示系统处于极端危险状态,关系到系统整体稳定性和安全性RSyslog配置符号.(点)表示"当前等级以及更高等级"示例:记录mail类别中info级别及以上的消息.=表示"仅此等级"示例:mail.=info仅记录mail类别中info等级的消息.!表示"除此等级外的所有等级"示例:mail.!=info记录mail类别中除info等级以外的所有消息*表示"所有级别"或"所有类别"示例:*.notice将所有类别的notice级别及以上信息输出日志文件轮转Logrotate工具的配置与使用Logrotate的作用与重要性日志文件记录了程序运行的关键信息,从用户行为分析到程序运行监控,日志都扮演着不可或缺的角色。然而,考虑到磁盘空间的有限性,必须有一种机制来管理旧日志文件。Logrotate的主要职责:自动化地管理日志文件的轮转和删除,以防止因日志积累导致的磁盘空间耗尽。基于Cron定时任务运行执行脚本位于/etc/cron.daily/logrotate通常每天执行一次调用主配置文件/etc/logrotate.confLogrotate工作机制01定时触发通过Cron定时任务,Logrotate定期自动运行,通常每天执行一次02读取配置调用主配置文件/etc/logrotate.conf和/etc/logrotate.d/目录下的额外配置文件03执行轮转根据配置规则,将旧日志文件更改名称,创建新的空白日志文件04清理删除旧日志文件在保留预设时间后被自动删除,释放磁盘空间Logrotate配置文件结构主配置文件/etc/logrotate.conf全局配置文件,设置全局的日志管理规则,如轮循频率、保留文件数量等额外配置文件/etc/logrotate.d/为特定应用程序或服务定义专门的日志管理规则,如Web服务器、数据库等Logrotate的配置具有高度灵活性,管理员可以根据实际需求调整和优化日志管理策略,例如设置日志文件在达到特定大小后自动轮循,或在轮循过程中执行特定脚本。日志轮循基本原理Logrotate通过将旧日志文件更改名称,并创建新的空白日志文件来继续记录即将产生的日志。这种机制确保新的活动记录始终被保存在新文件中,而旧日志文件则在保留一段预设时间后被自动删除。重命名旧文件将当前日志文件重命名为带时间戳的归档文件创建新文件创建新的空白日志文件继续记录压缩归档可选择压缩旧日志文件以节省空间定期清理超过保留期限的日志文件自动删除日志管理工具系统日志的收集、分析与监控Systemd-journald系统日志工具Systemd-journald是由Systemd提供的现代日志管理工具,在系统启动到关机的整个过程中收集并存储所有日志消息。内核日志收集内核产生的所有消息启动日志记录启动过程早期阶段的信息标准输出捕获程序的标准输出和错误输出系统日志收集系统级别的各类日志消息守护进程记录守护进程启动和运行期间的错误Systemd-journald关键特性1集中式日志管理统一管理所有Unit的启动日志,简化了日志查询流程,提供一站式日志访问接口2二进制日志格式日志以二进制格式记录,存储在内存中,大幅提高读写效率,优化系统性能3灵活的存储选项支持内存存储(/run/log/journal)和磁盘存储(/var/log/journal)两种方式,满足不同需求Systemd-journald服务管理systemctlstartsystemd-journald.service启动日志服务systemctlstopsystemd-journald.service停止日志服务systemctlrestartsystemd-journald.service重启日志服务systemctlstatussystemd-journald.service查看日志服务状态配置文件位置:/etc/systemd/journald.conf通过编辑此文件,管理员可以调整日志的存储策略、大小限制等参数journalctl命令概述journalctl是查询由Systemd-journald收集的日志的主要工具,提供多种灵活的查询选项,允许系统管理员按需检索日志信息。基本查询命令journalctl-n10:查看最新10条日志journalctl--sinceyesterday:查看昨天的日志journalctl-f:实时监控日志journalctl-unginx:查看nginx服务的日志高级功能按时间范围过滤按服务单元过滤按优先级过滤导出为不同格式日志大小管理journalctl实用示例时间过滤journalctl--since"2024-01-01"--until"2024-01-31"查看特定时间段的日志服务日志journalctl-unginx.service-perr查看特定服务的错误日志实时监控journalctl-f--lines=50实时跟踪最新50条日志日志清理journalctl--vacuum-size=500M清理并限制日志大小为500MBdmesg命令概述内核消息查看工具dmesg命令用于查看和分析内核产生的消息,这些消息通常与硬件设备和驱动程序相关,对于诊断和解决系统问题至关重要。内核在启动过程中会产生大量信息,这些信息存储在内核环形缓冲区中。dmesg提供了访问这些信息的接口。查看系统架构信息CPU硬件信息硬盘驱动信息网卡驱动信息dmesg常见设备名称hdIDE硬盘设备sdSCSI硬盘设备eth以太网卡设备lo本地回环网络接口usbUSB设备tty终端设备dmesg命令选项-T选项时间戳以人类易读的格式输出,便于理解日志产生的具体时间-x选项显示日志的等级,帮助识别消息的严重程度-s选项设置缓冲区的大小,控制显示的日志数量-c选项显示信息后清除dmesg的内容,用于清理旧日志dmesg实用示例查看内存相关信息dmesg|grep-imemory过滤显示所有与内存相关的内核消息查看特定启动的日志dmesg-b显示系统启动时的内核消息查看实时日志dmesg-w实时监控内核产生的新消息查找硬盘错误dmesg|grep-ierror快速定位系统中的错误信息dmesg诊断功能识别硬件问题dmesg输出中包含与硬件设备相关的信息。如果硬盘或内存出现问题,dmesg会显示相关的错误消息,帮助快速定位硬件故障。驱动冲突诊断在安装新硬件或更新驱动后,dmesg可以帮助识别是否存在驱动程序冲突,显示驱动加载过程中的警告和错误。系统故障分析dmesg提供系统崩溃或其他故障的关键信息,如内核异常、系统停滞等,是故障排查的重要工具。常见故障分析案例1U盘挂载失败日志:EXT4-fserror(devicesdb1)分析:电压过低导致,偶发事件。尝试多次挂载通常可以成功2蓝牙设备识别超时日志:Bluetooth:hci0:command0x1001txtimeout分析:台式机没有蓝牙设备。通常不影响系统正常运行3NVIDIA显卡驱动问题日志:nouveau0000:01:00.0:bus:MMIOreadFAULT解决:编辑/etc/default/grub,添加nouveau.modeset=0参数4逻辑CPU被忽略日志:WARNING:NR_CPUSlimitof8reached解决:升级内核或安装SMP内核调度策略SysLog日志分析系统日志的深度分析与问题诊断SysLog日志分析流程收集日志数据从/var/log/syslog等位置收集系统运行时的各种事件日志识别异常模式分析日志中的错误、警告和异常模式,识别潜在威胁定位问题根源通过日志信息定位服务启动失败、硬件故障、系统错误等问题实施解决方案根据分析结果采取相应的解决措施,恢复系统正常运行SysLog常见问题案例udisks2服务启动失败问题现象:可能导致外接硬盘无法自动挂载解决方法:执行systemctlrestartudisks2.service重启该服务并存安装第二个系统失败问题现象:第一个系统以Legacy模式启动,第二个系统以UEFI模式安装时出现问题解决方法:确保两个系统的启动模式一致,均使用Legacy模式GPU死锁造成黑屏问题现象:由于MESA包版本过低,GPU死锁导致黑屏解决方法:更新MESA包,添加必要的补丁。MESA是基于软件的图形应用程序接口DNS无法解析域名问题现象:DNS无法解析域名,系统显示警告信息分析:这是正常的警告信息,通常不会影响系统的正常运行任务实施任务2-1:配置RSyslog自定义日志任务目标配置RSyslog以创建自定义日志文件,并根据特定条件过滤日志信息。01编辑配置文件打开RSyslog主配置文件进行编辑02添加自定义规则创建新的日志文件记录auth相关消息:auth,authpriv.*/var/log/auth_custom.log03配置日志过滤只记录error级别的内核消息:kern.error/var/log/kernel_errors.log04重启服务保存配置文件并重启RSyslog服务05测试配置尝试登录系统,检查新创建的日志文件任务2-2:使用Logrotate管理日志大小任务目标配置Logrotate以管理自定义日志文件的大小和保留期限,确保日志文件的有效管理和系统资源的合理使用。实施步骤创建新的Logrotate配置文件在配置文件中添加配置规则保存文件并测试配置等待日志轮转或手动触发轮转配置示例/var/log/auth_custom.log{dailyrotate7compressmissingoknotifempty}任务2-3:使用journalctl进行高级日志分析掌握使用journalctl命令进行复杂的日志查询和分析的技能,深入了解系统状态和排查问题。1查看特定时间段的日志使用--since和--until参数指定时间范围2查看特定服务的日志并过滤错误信息结合-u参数和-p参数进行精确过滤3实时监控系统日志使用-f参数实时跟踪日志更新4分析启动时间使用systemd-analyze命令分析系统启动性能5导出日志将日志导出为JSON格式便于进一步分析任务2-4:使用dmesg进行硬件问题诊断查看硬件错误dmesg|grep-ierror查看所有硬件相关的错误信息检查特定硬件dmesg|grep-ieth0检查网卡等特定硬件的状态实时监控dmesg-w监控实时硬件事件分析结果解释输出结果,识别潜在的硬件问题任务2-5:创建日志分析脚本任务目标编写一个简单